Blaster
W32.Blaster (auch: W32.Lovsan und MSBlast) ist ein Computerwurm, der sich durch Ausnutzung einer Sicherheitslücke in der RPC-Schnittstelle von Microsoft Windows verbreitet. Der Wurm verbreitet sich ausschließlich über die Windows-Versionen NT 4.0, 2000 und XP, außerdem über die Server-Fassungen NT 4.0 Terminal Services Edition und Server 2003. Er breitet sich über den TCP-Port 135 aus, öffnet allerdings auch einige zusätzliche UDP-Ports. Das Distributed Computing Environment (DCE), das auf einer Vielzahl verschiedener Betriebssysteme installiert sein kann, verwendet auch RPCs über Port 135. In Folge einer Schwachstelle in der Implementierung einiger Hersteller kann auf manchen Plattformen der DCE-Dienst zum Absturz gebracht werden.
Der Wurm kann allerdings bei einem Angriff nicht erkennen ob das Angriffsziel bereits befallen ist. Er bremst sich deshalb in der Verbreitung selbst aus, da er auch bereits befallene Windows-Rechner zum Absturz bringt. Erst wenn der Angriff erfolgreich war wird überprüft ob die Datei msblast.exe bereits auf der Festplatte vorhanden ist.
Der Wurm wird vom 15. August bis zum 31. Dezember 2003 Distributed Denial of Service-Attacken auf die Updateseiten der Firma Microsoft durchführen, auf denen auch der Patch für die Sicherheitslücke lagert. Daher wird dringend empfohen, den Patch so schnell wie möglich einzuspielem.
Mittlerweile tritt der Wurm auch in zahlreichen Mutationen auf. Eine dieser Mutationen kombiniert den Virus mit einem Trojanerprogramm.
Diese Entwicklung stellt mittlerweile auch eine direkte Bedrohung für die Systemsicherheit der Anwender dar, da der Wurm sich nicht mehr auf die Verbreitung beschränkt, sondern die Systeme der Nutzer für einen zukünftigen Angriff präpariert.
Mutationen
Der Wurm tritt mittlerweile in 4 Varianten auf:
- Variante A
- Variante B, bei dem die Wurmdatei in "penis.exe" umbenannt wurde
- Variante C, bei dem die Wurmdatei in "teekids.exe" umbenannt wurde
- Variante C in Kombination mit dem Trojaner BKDR_LITH.103.A, der eine Backdoor installiert.
Erkennung
Eine Infektion durch W32.Blaster lässt sich folgendermaßen erkennen:
- Links unten auf "Start" klicken,
- dann auf "Suchen"
- und jetzt auf "Nach Dateien und Ordnern".
- Dann nach "msblast.exe" suchen.
- Nach "penis.exe" suchen
- Nach "teekids.exe" suchen
Findet der Rechner einer der Dateien, ist der Computer infiziert.
Erkennung ür Fortgeschrittene
Wenn das Dateisystem sehr groß ist, dann dauert es vielleicht etwas zu lange, alle Festplatten zu durchsuchen.
In diesem Fall kann der Befall auch in der Registry an den folgenden Schlüsseln erkannt werden:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Bei den Varianten B und C des Virus findet sich hier statt "msblast.exe" die Dateien "penis.exe" oder "teekids.exe" sowie ein etwas anderer Text.
W32.Blaster macht sich auch durch Abstürze des Rechners bemerkbar, die von der Meldung "Windows muss jetzt neu gestartet werden, da der Dienst Remoteprozedurablauf unerwartet beendet wurde." begleitet werden.
Siehe auch: Computervirus, Netzwerksicherheit
Weblinks
- Deutschsprachige Informationen zur Sicherheitslücke und Patch zur ihrer Beseitigung von Microsoft, Microsoft Security Bulletin MS03-026 (englisch)
- Bundesamt für Sicherheit in der Informationstechnik: Advisory zu W32.Blaster, Pressemitteilung
- Programm zu Entfernung des W32.Blaster
- Heise News-Ticker: "Alle Schotten dicht -- W32.Blaster greift an", "Schutz vor RPC/DCOM-Wurm W32.Blaster"
- Golem.de: "Internet-Wurm nutzt Sicherheitsleck zur rasanten Verbreitung"
- Symantec Analyst Report
- Heise - Wurm attakiert auch Nicht-Windows-Systeme
- Heise - RPC/DCOM-Wurm W32.Blaster mutiert