Wurm Blaster rast durchs Internet
Mitte Juli 2003 berichtete Microsoft über ein Sicherheitsleck im RPC-Protokoll etlicher Windows-Betriebssysteme. Daraufhin erwarteten Sicherheitsexperten schon mehrfach, dass ein entsprechender Wurm oder anderer Programmcode das Internet torpedieren werde. Diese Prognose bewahrheitet sich nun. Seit vergangener Nacht verbreitet sich "Blaster" respektive "Lovesan" explosionsartig im Web, so dass nun auch das Bundesamt für Sicherheit in der Informationstechnik vor dem Schädling warnt.
Zum Download - W32.Blaster.Worm Removal Tool 1.0.0
Eine Firewall schützt
Da sich der Wurm nicht über eMail-Nachrichten versendet, kann er an eMail-Gateways nicht abgefangen werden. Lediglich eine Firewall kann hier helfen.
Firewalls für den PC - Schutz vor Internet-Angriffen
Unbedingt Patch installieren
Blaster verbreitet sich innerhalb kürzester Zeit massiv und nutzt dabei besagte Sicherheitslücke. Viele Anwender haben diese bislang nicht geschlossen, obwohl Microsoft bereits einen Patch zur Verfügung gestellt hat. Alle Nutzer der Windows-Versionen NT 4.0, 2000, XP sowie der Server-Fassungen NT 4.0 Terminal Services Edition und Server 2003 sollten den Patch gegen das RPC-Sicherheitsloch schleunigst auf ihren Systemen einspielen, um sich vor einem derartigen Wurm-Angriff zu schützen.
Zum Download - Windows XP Security Patch
Suche nach nicht gesicherten Rechnern im WWW
Der Wurm sucht über zufällig ausgewählte IP-Adressen auf dem TCP-Port 135 nach anfälligen Windows-Systemen im Internet. Findet er ein System ohne installierten Patch, öffnet er eine Remote-Shell auf TCP-Port 4444, lädt den Wurm-Code Msblast.exe über TFTP auf den Rechner und kopiert diesen in das Windows-Verzeichnis System32. Auf einem infizierten System lauscht der Wurm fortan am UDP-Port 69 und versendet den Wurm-Code von dort auf Anfrage weiter, um sich so weiter zu verbreiten.
Denial-of-Service-Attacke steht bevor
Blaster sorgt dafür, dass er bei jedem Rechner-Neustart geladen wird, indem er einen entsprechenden Eintrag in der Registry vornimmt. Bedingt durch die zufällig ausgewählten Daten, die der Wurm an andere Rechner sendet, können Systeme so auch zum Absturz geführt werden. Ab dem 16. August 2003 startet der Wurm außerdem eine Denial-of-Service-Attacke auf die Website
http://www.windowsupdate.com, was verhindern soll, dass sich Anwender entsprechende Patches auf den Rechner laden können. Diese Denial-of-Service-Attacke läuft dann ununterbrochen bis Ende des Jahres.
Der Wurm-Code enthält einen Text, der sich an Bill Gates von Microsoft richtet:
I just want to say LOVE YOU SAN!!
billy gates why do you
make this possible ?
Stop making money and fix your software!!
Dieser Text wird jedoch vom Wurm nicht angezeigt, sondern verbirgt sich lediglich im Programmcode.
Der unangreifbare PC ...
... bleibt eine Illusion, solange keine Schutzprogramme nach bösartigen Dateien suchen und den ein- und ausgehenden Datenverkehr kontrollieren. Wie Anwender die gefährlichen Angriffe mit angepasstem Nutzer-Verhalten beim eMailen, Surfen und Downloaden im Zaum halten, zeigen die folgenden Sicherheits-Specials.
Sicherer Surfen im Internet - Die zehn goldenen Regeln
PC-Viren erkennen - Sicherheits-Workshop
Desktop-Firewalls - Den PC vor Hackern schützen
