W32.Blaster.Worm

Virus-Warnung  -  Virus-Beschreibung

 

Name

 

 W32.Blaster.Worm

Alias

 

 W32/Lovsan.worm [McAfee]
WORM_MSBLAST.A [Trend]

Art

 

 Wurm

Groesse des Anhangs

 

 6.176 Bytes (UPX gepackt)

Betriebssystem / Software

 

 Windows NT/2000/XP

Art der Verbreitung

 

 Netzwerk

Verbreitungsgrad

 

 hoch

Risiko bei Aktivierung

 

 mittel

Schadensfunktion

 

 unkontrollierter Rechnerabsturz
Lauschen auf Port 135

Entfernung

 

 aktuelle Definitionen
(ab 11.08.2003)

Spezielle Entfernung

 

 Tool

Bekannt seit

 

 11.08.2003


 

 

Beschreibung:

W32.Blaster.Worm ist ein Wurm, der sich ueber das Netzwerk verbreitet. Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Dabei handelt es sich um einen nicht geprueften Puffer im "Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) Interface". Durch Ueberschreiben der Puffergrenze kann beliebiger Programmcode aus- gefuehrt werden. Diese Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP-Systemen. Informationen zu dieser Schwaeche finden Sie im Microsoft Security Bulletin MS03-026 <http://www.microsoft.com/technet/security/bulletin/MS03-026.asp>

W32.Blaster.Worm sucht ueber TCP Port 135 einen angreifbaren Rechner. Dieser Rechner wird dazu gebracht, das Programm des Wurms (MSBLAST.EXE) per FTP in das Verzeichnis C:\Windows\System32 oder C:\WINNT\System32 zu laden. Diese Datei laedt der Rechner vom bereits infizierten System. Dazu simuliert der Wurm auf dem infizierten System einen TFTP-Server.

Nach dem Download wird die Kopie des Wurms auf dem neuen Rechner ausgefuehrt. Es beginnt ein neuer Infektionszyklus.

Der Wurm selbst ist UPX-gepackt. Er enthaelt einen Text, der jedoch nicht angezeigt wird:
I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!

Zum automatischen Start erzeugt W32.Blaster.Worm den Registrier-Schluessel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
mit dem Wert
"windows auto update" = MSBLAST.EXE

Bei der Suche nach angreifbaren Rechnern werden zunaechst die lokalen Subnetze durchsucht. Danach werden zufaellige IP-Adressen zur Suche verwendet.

Weiterhin fuehrt der W32.Blaster.Worm eine sog. DDoS-Attacke (DDoS = distributed denial of service) gegen einen Microsoft-Server durch (windowsupdate.com). Dabei wird dieser Server mit so vielen Anfragen ueberflutet, dass er nicht mehr antworten kann. Diese Attacke wird in den Monaten Januar bis Auguste vom 16. bis zum Ende des Monats gemacht, in den Monaten September bis Dezember wird die Attacke fortlaufend (taeglich) durch- gefuehrt.

Hinweis: Da sich der Wurm nicht ueber E-Mail-Nachrichten versendet, kann er an Mail-Gateways nicht abgefangen werden. Administratoren sollten (wenn moeglich) auf der Firewall die Ports 135 TCP, 69 UDP und 4444 TCP schliessen. Aktuelle Virendefinitionen erkennen die Datei MSBLAST.EXE waehrend des Downloads.

Entfernungs-Programm

Von Symantec wird ein spezielles Entfernungs-Programm fuer W32.Blaster.Worm zum kostenlosen Download bereitgestellt.

Ein Update der Viren-Schutzsoftware ist erforderlich. Viren-Signaturen ab dem 12.08.2003 koennen diesen Wurm erkennen. Informieren Sie sich dazu beim Hersteller des Viren-Schutzprogramms.

Weitere Informationen

 

 





Quelle:

BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn 



 































                  		

 





 





	

	

		

			
			

			
			Zurück blättern

			
			

			
			HOME - Prommersberger EDV-ORGANISATION

			
			

			
			Vorwärts blättern

		

		

			

			

			
			(c) PROKA

			EDV-ORGANISATION

			PROMMERSBERGER

			
			22.11.2011