hallo Andreas,

danke für die Hinweise. Den Heise-Artikel gabs gestern abend/heute morgen leider noch nicht. Er ist eine sehr gute Zusammenfassung der Dinge, die ich mir aus den von Christoph Zurnieden angegebenen links zusammengereimt hatte.

Bis zu "msblaster.exe" und den registry-Einträgen war ich selber schon gekommen, das mit den ports wäre mir nicht von allein eingefallen  -  obwohl ich da nachgeschaut habe.

Das Symantec-Teil hat ein Weilchen arbeiten müssen, hat dann aber nichts gefunden, und den Microsoft-Patch habe ich inzwischen eingespielt.

Was mich bei dem "Bulletin" von Microsoft stutzig macht: der patch beseitigt "buffer overflow" für den RPC, das heißt, ein befallener Rechner schmiert nicht mehr ab. Leider aber beseitigt er den Wurm nicht, und das bedeutet, daß in nächster Zeit eine Menge Leute sich den Patch einspielen werden und sich danach beruhigt zurücklehnen, weil auf ihren Windows-Rechnern scheinbar nix mehr passiert. Dabei verbreiten sie aber, ohne es zu merken, den Wurm wahrscheinlich trotzdem fröhlich weiter.

Und irgendwas stört mich auch an der Angabe, daß das Ding sich über TFTP versendet. Natürlich habe ich eine ftp.exe im %WinDir%\system32 liegen, aber sonst überhaupt kein "FTP-Programm", also auch kein TFTP. Wie kann sich das Ding dann auf meinem Rechner installiert haben?

Ich habe mal mit diversen logs und Systemmeldungen nachgeforscht, wann ich ihn mir eingefangen habe: gestern war mein Rechner zwischen 19 Uhr und 23.20 Uhr aus, Strom ab  -  ich hatte was andres zu tun. Als ich ihn am späten Abend wieder eingeschaltet habe und online gegangen bin, ist zunächst gar nichts passiert, 0.13 ist er dann das erstemal runtergefahren, aber 0.08 war tatsächlich für 42 Sekunden bei mir port 4444 auf und hat irgendwelche Pakete durhgelassen. Also hätte ich um 0.08 Uhr eigentlich eine gerade aktive tftp.exe haben müssen, falls die diversen Beschreibungen korrekt sind. Dafür gibt es aber keinerlei Hinweise.
Beim nächsten reboot um 0.14 gings dann sehr schnell: kaum war die DFÜ-Verbindung hergestellt, fuhr er wieder runter (10 Sekunden), es lohnte sich gar nicht, erst einen Browser aufzurufen. Ich bin danach im "abgesicherten Modus" hochgefahren, habe diese msblast.exe gefunden und gelöscht, ebenfalls die registry-Einträge, bloß von den ports wußte ich noch nichts. Aber beim nächsten normalen reboot war das Ding wieder da, kurz nachdem ich die DFÜ-Verbindung hergestellt hatte  -  da wars mir dann zuviel und ich habe nach LINUX umgeschaltet.

Inzwischen ist bei WinXP scheinbar alles "sauber", es sind nur die ports offen bzw. erlaubt, die ich tatsächlich brauche, aber ich traue dem Frieden nicht so ganz.

Und jetzt kann ich es doch nicht lassen: vor zehn Tagen bereits hat sich mein "Doppelgänger" beschwert, daß er sich irgendwo tftp eingafangen hätte (siehe http://forum.de.selfhtml.org/archiv/2003/8/54236/#m301083). Das haben wir offenbar alle überlesen  -  ich habs jetzt gefunden, weil ich einfach mal das Archiv nach "tftp" durchsucht habe. Aber vor zehn Tagen war "msblast.exe" wohl noch nicht aktuell ...

Grüße aus Berlin

Christoph S.