Blaster

W32.Blaster (auch: W32.Lovsan und MSBlast) ist ein Computerwurm, der sich durch Ausnutzung einer Sicherheitslücke in der RPC-Schnittstelle von Microsoft Windows verbreitet. Der Wurm breitet sich über den TCP-Port 135 aus, öffnet allerdings auch einige zusätzliche UDP-Ports. Betroffen sind ausschließlich Nutzer der Windows-Versionen NT 4.0, 2000 und XP, außerdem der Server-Fassungen NT 4.0 Terminal Services Edition und Server 2003.

Der Wum kann allerdings bei einem Angriff nicht erkennen ob das Angriffsziel bereits befallen ist. Er bremst sich deshalb in der Verbreitung selbst aus, da er auch bereits befallene Windows-Rechner zum Absturz bringt. Erst wenn der Angriff erfolgreich war wird überprüft ob die Datei msblast.exe bereits auf der Festplatte vorhanden ist.

Der Wurm wird vom 15. August bis zum 31. Dezember 2003 Distributed Denial of Service-Attacken auf die Updateseiten der Firma Microsoft durchführen, auf denen auch der Patch für die Sicherheitslücke lagert. Daher wird dringend empfohen, den Patch so schnell wie möglich einzuspielem.

Erkennung

Eine Infektion durch W32.Blaster lässt sich folgendermaßen erkennen:

Links unten auf "Start" klicken,
dann auf "Suchen"
und jetzt auf "Nach Dateien und Ordnern".
Dann nach "msblast.exe" suchen.

Findet der Rechner die Datei, ist der Computer infiziert.

W32.Blaster macht sich auch durch Abstürze des Rechners bemerkbar, die von der Meldung "Windows muss jetzt neu gestartet werden, da der Dienst Remoteprozedurablauf unerwartet beendet wurde." begleitet werden.

Siehe auch: Computervirus, Netzwerksicherheit

Erkennung

Weblinks