Parallel zur Virenbeseitigung auf infizierten Rechnern ist zu prüfen, ob der Virus oder Wurm bereits andere Systeme befallen hat. Die Viren-Scanner auf allen Computern sollten hierzu aktualisiert (Signaturen herunterladen) und aktiviert werden. Trotz der Sofortmaßnahmen könnte sich ein Wurm zum Zeitpunkt des Virenalarms schon längst im Netz verbreitet haben. Der Grund: Datei-basierende Viren-Checker melden sich erst zu Wort, wenn sich ein Störprogramm im Dateisystem niederlässt.

Je nach Machart kommt es oft aber erst dazu, nachdem sich der Wurm auf andere Rechner kopiert hat. Nicht einfacher wird die Bestandsaufnahme dadurch, dass bestimmte Schädlinge wie beispielsweise "SQL Slammer" sich im Hauptspeicher einnisten und so nur schwer auszumachen sind. Dieser Wurm nutzt eine bereits behobene Schwachstelle von Microsofts "SQL Server" aus und bringt die Datenbank zum Absturz.

Systeme härten

Während sich die Anwender ein Bild über den Verbreitungsgrad des Wurms im Firmennetz machen, ist es ratsam, über einen besonders geschützten Rechner (er sollte beispielsweise mit einer Desktop-Firewall ausgestattet sein) auf den Websites der Antiviren-Spezialisten nach aktuellen Gegenmaßnahmen Ausschau zu halten, um den Parasiten unschädlich zu machen beziehungsweise ihn an der Ausbreitung zu hindern. Wichtig ist ferner, nach Sicherheits-Updates für Betriebssysteme sowie der installierten Software zu suchen und diese einzuspielen - allzu oft nutzen Würmer bereits bekannte Sicherheitslöcher aus. Unter Umständen ist es erforderlich, Computer isoliert vom lokalen Netz beziehungsweise dem Internet von der Plage zu befreien beziehungsweise Patches einzuspielen, da ansonsten ein bereits geheiltes System sich erneut infiziert.

Gerade beim Auftreten von Internet-Würmern sollten es die Experten nicht versäumen, die Firewall so zu konfigurieren, dass nicht auch Geschäftspartner und andere mit dem Unternehmen verbundene Organisationen in Mitleidenschaft gezogen werden. Auch das ist nicht unproblematisch, wenn hierzu beispielsweise erforderliche Ports geschlossen werden müssen. Die Sicherheitshersteller nennen als mögliche Abhilfe Intrusion-Prevention-Verfahren: Sie seien in der Lage, den Wurm am Port zu blocken, ohne gleichzeitig alle regulären Verbindungen sperren zu müssen.

Nachsorge