McAfee > Theat Center > Virus Detail Page

Direkter Link zum Wikipedia-Artikel

Wikipedia schlägt Alarm. Neue Variante des W32.Blasters im Umlauf. Wurm-Fix
                         zum Download

W32.Blaster  (auch: W32.Lovsan und MSBlast) ist ein Computerwurm, der sich
durch Ausnutzung einer Sicherheitslücke in der RPC-Schnittstelle
von Microsoft Windows verbreitet. Der Wurm verbreitet sich ausschlieÃlich
über die Betriebssysteme Windows 2000, XP und Windows Server 2003 über den
TCP-Port 135. Das Distributed Computing Environment (DCE), das auf einer
Vielzahl verschiedener Betriebssysteme installiert sein kann, verwendet auch
RPCs über Port 135. In Folge einer Schwachstelle in der Implementierung
einiger Hersteller kann auf manchen Plattformen der DCE-Dienst zum Absturz
gebracht werden.

Der  Wurm  kann  allerdings  bei  einem Angriff nicht erkennen, ob das
Angriffsziel bereits befallen ist. Er bremst sich deshalb in der Verbreitung
selbst aus, da er auch bereits befallene Windows-Rechner zum Absturz bringt.
Erst  wenn  der  Angriff erfolgreich war, wird überprüft, ob die Datei
msblast.exe bereits auf der Festplatte vorhanden ist.

Der Wurm sollte am 16. August 2003 einen Distributed-Denial-of-Service
-Angriff auf die Updateseiten der Firma Microsoft durchführen, auf denen
auch der Patch für die Sicherheitslücke lagert.

Mutationen

Mittlerweile tritt der Wurm auch in zahlreichen Mutationen auf. Eine dieser
Mutationen kombiniert den Wurm mit einem Trojanischen Pferd.

Diese Entwicklung stellt mittlerweile auch eine direkte Bedrohung für die
Systemsicherheit der Anwender dar, da der Wurm sich nicht mehr auf die
Verbreitung beschränkt, sondern die Systeme der Nutzer für einen zukünftigen
Angriff präpariert.

Der Wurm tritt mittlerweile in fünf Varianten auf:
Variante A
Variante B, bei dem die Wurmdatei in "penis32.exe" umbenannt wurde
Variante C, bei dem die Wurmdatei in " teekids.exe" umbenannt wurde
Variante  D  in Kombination mit dem Trojaner BKDR_LITH.103.A, der eine
Backdoor installiert
Variante  E  trägt  unter anderem die Bezeichnungen Nachi, Welchia und
Lovsan.D.
Der  Schädling  sucht  auch  auf  dem  TCP-Port  135 nach verwundbaren
Windows-Systemen im Internet. Alternativ sendet der Wurm Daten über den
TCP-Port  80, um das im März 2003 entdeckte WebDAV-Sicherheitsloch zur
Verbreitung zu nutzen. Über das RPC-Leck greift der Wurm nur Maschinen mit
Windows XP an, während über die WebDAV-Lücke sowohl Systeme mit >Windows 2000
als  auch  XP  attackiert  werden. Zu erkennen ist er an massiv vielen
ICMP-Floodings im lokalen Netz. Seien Sie vorsichtig. Lassen Sie MSBLAST
sich nicht weiter verbreiten! Direkter Link zu weiterer Information bei
Wikipedia. Wurm-Fix zum Download
 
References

1. http://www.wikipedia-download.org/wiki/W32.Blaster.html
2. http://www.wikipedia-download.org/wiki/W32.Blaster.html

Direkter Link zum Wikipedia-Artikel

Wikipedia schlägt Alarm. Neue Variante des W32.Blasters im Umlauf. Wurm-Fix
                         zum Download

W32.Blaster  (auch: W32.Lovsan und MSBlast) ist ein Computerwurm, der sich
durch Ausnutzung einer Sicherheitslücke in der RPC-Schnittstelle
von Microsoft Windows verbreitet. Der Wurm verbreitet sich ausschlieÃlich
über die Betriebssysteme Windows 2000, XP und Windows Server 2003 über den
TCP-Port 135. Das Distributed Computing Environment (DCE), das auf einer
Vielzahl verschiedener Betriebssysteme installiert sein kann, verwendet auch
RPCs über Port 135. In Folge einer Schwachstelle in der Implementierung
einiger Hersteller kann auf manchen Plattformen der DCE-Dienst zum Absturz
gebracht werden.

Der  Wurm  kann  allerdings  bei  einem Angriff nicht erkennen, ob das
Angriffsziel bereits befallen ist. Er bremst sich deshalb in der Verbreitung
selbst aus, da er auch bereits befallene Windows-Rechner zum Absturz bringt.
Erst  wenn  der  Angriff erfolgreich war, wird überprüft, ob die Datei
msblast.exe bereits auf der Festplatte vorhanden ist.

Der Wurm sollte am 16. August 2003 einen Distributed-Denial-of-Service
-Angriff auf die Updateseiten der Firma Microsoft durchführen, auf denen
auch der Patch für die Sicherheitslücke lagert.

Mutationen

Mittlerweile tritt der Wurm auch in zahlreichen Mutationen auf. Eine dieser
Mutationen kombiniert den Wurm mit einem Trojanischen Pferd.

Diese Entwicklung stellt mittlerweile auch eine direkte Bedrohung für die
Systemsicherheit der Anwender dar, da der Wurm sich nicht mehr auf die
Verbreitung beschränkt, sondern die Systeme der Nutzer für einen zukünftigen
Angriff präpariert.

Der Wurm tritt mittlerweile in fünf Varianten auf:
Variante A
Variante B, bei dem die Wurmdatei in "penis32.exe" umbenannt wurde
Variante C, bei dem die Wurmdatei in " teekids.exe" umbenannt wurde
Variante  D  in Kombination mit dem Trojaner BKDR_LITH.103.A, der eine
Backdoor installiert
Variante  E  trägt  unter anderem die Bezeichnungen Nachi, Welchia und
Lovsan.D.
Der  Schädling  sucht  auch  auf  dem  TCP-Port  135 nach verwundbaren
Windows-Systemen im Internet. Alternativ sendet der Wurm Daten über den
TCP-Port  80, um das im März 2003 entdeckte WebDAV-Sicherheitsloch zur
Verbreitung zu nutzen. Über das RPC-Leck greift der Wurm nur Maschinen mit
Windows XP an, während über die WebDAV-Lücke sowohl Systeme mit >Windows 2000
als  auch  XP  attackiert  werden. Zu erkennen ist er an massiv vielen
ICMP-Floodings im lokalen Netz. Seien Sie vorsichtig. Lassen Sie MSBLAST
sich nicht weiter verbreiten! Direkter Link zu weiterer Information bei
Wikipedia. Wurm-Fix zum Download
 
References

1. http://www.wikipedia-download.org/wiki/W32.Blaster.html
2. http://www.wikipedia-download.org/wiki/W32.Blaster.html