Wurmalarm: W32/Gaobot ist da!

Computerviren und -würmer treiben schon seit langem ihr Unwesen in schlecht geschützten Windows-Systemen. In den letzten Monaten steigt die Zahl der Infektionen dramatisch an. Täglich werden neue Bedrohungen bekannt. Die Uni Innsbruck war davon bisher relativ wenig betroffen. Das hat sich nun geändert: W32/Gaobot ist da!
W32/Gaobot ist da!
W32/Gaobot ist da!
Seit Donnerstag verbreitet sich der Wurm W32/Gaobot im Datennetz der Universität Innsbruck rasant und hat bereits mehr als 500 Rechner befallen. Der ZID hat alle betroffenen Rechner für den internationalen Verkehr gesperrt. Die EDV-Beauftragten können sich an die ZID-Hotline wenden, um eine Liste der am Institut betroffenen Rechner zu erhalten. Zahlreiche Mitarbeiter des ZID sind derzeit damit beschäftigt, telefonisch oder vor Ort bei der Beseitigung des Wurmes zu helfen.
Viren und Würmer wie W32/Blaster und W32/Gaobot gelangen normalerweise nicht in das Datennetz der Universität Innsbruck. An der Firewall des ZID werden diese Würmer abgeblockt. Auch Viren, die sich über Mail verbreiten, haben kaum eine Chance: Die zentralen Mailsysteme des ZID überprüfen alle Mails auf Viren und lehnen diese gegebenenfalls ab.

Wie gelangen diese Würmer dennoch in unser Datennetz?

"Meist ist es so, dass die Viren und Würmer in das Datennetz eingeschleppt werden", erklärt Michael Redinger, Datennetz-Sicherheitsbeauftragter des Zentralen Informatikdienstes. "Speziell Laptops werden in anderen Netzwerken - etwa beim ADSL-Anschluss zu Hause - oft infiziert. Diese Rechner werden dann von Universitätsangehörigen an das Datennetz angeschlossen. Damit ist der Wurm oder Virus im Datennetz. Hier kann er sich dann weiter ausbreiten." Im Gegensatz zu Viren verbreiten sich Würmer aktiv selbst. "Während bei Viren der Benutzer eine Aktion setzt - indem er beispielsweise einen Mail-Anhang öffnet, der einen Virus enthält - erfolgt die Infektion mit einem Wurm selbständig", so Redinger weiter. Würmer nützen Schwächen der Rechner aus, um diese zu infizieren. "Der aktuelle Wurm W32/Gaobot versucht, mehrere Schwächen auszunützen. Ist auch nur eine der Schwachstellen vorhanden, wird der Rechner infiziert." Hat der Rechner die Sicherheits-Updates für Windows nicht installiert oder gibt es auf dem Rechner einen Benutzer ohne Passwort oder mit einem sehr schwachen Passwort (zum Beispiel "123456") hat der Datenwurm ein leichtes Spiel.

Und wie schütze ich mich?

Will man sich vor diesem Wurm und ähnlich gefährlichen Programmen schützen, so helfen meist schon sehr einfache Maßnahmen, erklärt Michael Redinger: "Installieren Sie regelmäßig alle vorhandenen wichtigen Windows Updates. Der ZID betreibt einen sogenannten "Software Update Service". Über diesen erhalten Sie täglich automatisch alle notwendigen Updates. Überprüfen Sie Ihren Rechner regelmäßig auf Viren. Wichtig ist, dass Sie dazu ein aktuelles Virenprogramm verwenden. Zumindest wöchentlich erscheinen neue Versionen der Virendatenbank. Sind diese nicht installiert, so wiegt man sich in vermeintlicher Sicherheit, weil das Virenprogramm keine Viren findet. Aufgrund der veralteten Virendatenbank werden aber aktuelle Viren nicht erkannt. Auf den vom ZID aufgesetzten Systemen finden Sie immer einen aktuellen Virenscanner vor, hier müssen Sie diesen nicht selbst auf den neuesten Stand bringen. Schützen Sie Ihren Rechner mit einem geeigneten Passwort. Das Passwort sollte nicht leicht zu erraten sein und keine persönlichen Daten beinhalten (beispielsweise Sozialversicherungsnummer oder Geburtsdatum). Öffnen Sie nie eine Datei in einem E-Mail direkt, auch wenn sie von einem Bekannten kommt. Speichern Sie die Datei zuerst ab und prüfen Sie sie mit Ihrem Virenscanner. Schalten Sie Ihren Computer in der Nacht immer ab. Rechner, die auch in der Nacht laufen, sind bevorzugt Ziele von Angriffen.
Wer viel Wert auf die Sicherheit seines Systems legt, kann weiters auf seinem Rechner eine "personal firewall" installieren, die jeden unerwünschten Verkehr ablehnt. Beispiele für solche elektronischen Schutzwälle sind "Kerio Personal Firewall", "McAfee Personal Firewall", "Norton Personal Firewall" oder "ZoneAlarm".

Hinweis: Wer den Wurm W32/Gaobot entfernt hat, wendet sich per Mail an security@uibk.ac.at, um die Sperre aufheben zu lassen. Bei Rechnern in den Studentenheimen wird beim Feststellen eines Befalls der Zugang zum Datennetz der Universität gesperrt. Nach Beseitigung des Wurmes erfolgt die Freischaltung ebenfalls nach Mail an security@uibk.ac.at. (cf)