Wikipedia schlägt Alarm. Neue Variante
des W32.Blasters im Umlauf. Wurm-Fix zum Download
W32.Blaster (auch: W32.Lovsan und
MSBlast) ist ein Computerwurm, der sich durch Ausnutzung einer
Sicherheitslücke in der
RPC-Schnittstelle von Microsoft Windows
verbreitet. Der Wurm verbreitet sich ausschlieÃlich über die Betriebssysteme
Windows 2000,
XP und Windows Server 2003 über den
TCP-Port
135. Das
Distributed Computing Environment (DCE), das
auf einer Vielzahl verschiedener Betriebssysteme installiert sein kann,
verwendet auch
RPCs über Port 135. In Folge einer
Schwachstelle in der Implementierung einiger Hersteller kann auf manchen
Plattformen der DCE-Dienst zum Absturz gebracht werden.
Der Wurm kann allerdings bei einem Angriff nicht erkennen, ob das
Angriffsziel bereits befallen ist. Er bremst sich deshalb in der Verbreitung
selbst aus, da er auch bereits befallene Windows-Rechner zum Absturz bringt.
Erst wenn der Angriff erfolgreich war, wird überprüft, ob die Datei
msblast.exe bereits auf der Festplatte vorhanden ist.
Der Wurm sollte am 16. August 2003 einen
Distributed-Denial-of-Service -Angriff auf die Updateseiten der Firma
Microsoft durchführen, auf denen auch der
Patch für die Sicherheitslücke lagert.
Mutationen
Mittlerweile tritt der Wurm auch in zahlreichen Mutationen auf. Eine dieser
Mutationen kombiniert den Wurm mit einem Trojanischen Pferd.
Diese Entwicklung stellt mittlerweile auch eine direkte Bedrohung für die
Systemsicherheit der Anwender dar, da der Wurm sich nicht mehr auf die
Verbreitung beschränkt, sondern die Systeme der Nutzer für einen zukünftigen
Angriff präpariert.
Der Wurm tritt mittlerweile in fünf Varianten auf:
Variante A
Variante B, bei dem die Wurmdatei in "penis32.exe" umbenannt wurde
Variante C, bei dem die Wurmdatei in "teekids.exe" umbenannt wurde
Variante D in Kombination mit dem Trojaner BKDR_LITH.103.A, der
eine
Backdoor installiert
Variante E trägt unter anderem die Bezeichnungen Nachi, Welchia
und Lovsan.D. Der Schädling sucht auch auf dem TCP-Port 135 nach
verwundbaren Windows-Systemen im Internet. Alternativ sendet der Wurm Daten
über den TCP-Port 80, um das im März 2003 entdeckte WebDAV-Sicherheitsloch zur
Verbreitung zu nutzen. Über das RPC-Leck greift der Wurm nur Maschinen mit
Windows XP an, während über die WebDAV-Lücke sowohl Systeme mit Windows 2000
als auch XP attackiert werden. Zu erkennen ist er an massiv vielen
ICMP-Floodings im lokalen Netz.
Seien Sie vorsichtig. Lassen Sie MSBLAST sich nicht weiter verbreiten!
Direkter Link zu weiterer Information bei Wikipedia. Wurm-Fix zum Download
|