Hi,
hab grad ne Mail von „Wikipedia“ bekommen – Inhalt
Wikipedia schlägt Alarm. Neue Variante des W32.Blasters im Umlauf. Wurm-Fix zum Download
W32.Blaster (auch: W32.Lovsan und MSBlast) ist ein Computerwurm, der sich durch Ausnutzung einer Sicherheitslücke in der RPC-Schnittstelle von Microsoft Windows verbreitet. Der Wurm verbreitet sich ausschließlich über die Betriebssysteme Windows 2000, XP und Windows Server 2003 über den TCP-Port 135. Das Distributed Computing Environment (DCE), das auf einer Vielzahl verschiedener Betriebssysteme installiert sein kann, verwendet auch RPCs über Port 135. In Folge einer Schwachstelle in der Implementierung einiger Hersteller kann auf manchen Plattformen der DCE-Dienst zum Absturz gebracht werden.
Der Wurm kann allerdings bei einem Angriff nicht erkennen, ob das Angriffsziel bereits befallen ist. Er bremst sich deshalb in der Verbreitung selbst aus, da er auch bereits befallene Windows-Rechner zum Absturz bringt. Erst wenn der Angriff erfolgreich war, wird überprüft, ob die Datei msblast.exe bereits auf der Festplatte vorhanden ist.
Der Wurm sollte am 16. August 2003 einen Distributed-Denial-of-Service-Angriff auf die Updateseiten der Firma Microsoft durchführen, auf denen auch der Patch für die Sicherheitslücke lagert.
Mutationen
Mittlerweile tritt der Wurm auch in zahlreichen Mutationen auf. Eine dieser Mutationen kombiniert den Wurm mit einem Trojanischen Pferd.
Diese Entwicklung stellt mittlerweile auch eine direkte Bedrohung für die Systemsicherheit der Anwender dar, da der Wurm sich nicht mehr auf die Verbreitung beschränkt, sondern die Systeme der Nutzer für einen zukünftigen Angriff präpariert.
Der Wurm tritt mittlerweile in fünf Varianten auf:
Variante A
Variante B, bei dem die Wurmdatei in „penis32.exe“ umbenannt wurde
Variante C, bei dem die Wurmdatei in „teekids.exe“ umbenannt wurde
Variante D in Kombination mit dem Trojaner BKDR_LITH.103.A, der eine Backdoor installiert
Variante E trägt unter anderem die Bezeichnungen Nachi, Welchia und Lovsan.D.
Der Schädling sucht auch auf dem TCP-Port 135 nach verwundbaren Windows-Systemen im Internet. Alternativ sendet der Wurm Daten über den TCP-Port 80, um das im März 2003 entdeckte WebDAV-Sicherheitsloch zur Verbreitung zu nutzen. Über das RPC-Leck greift der Wurm nur Maschinen mit Windows XP an, während über die WebDAV-Lücke sowohl Systeme mit Windows 2000 als auch XP attackiert werden. Zu erkennen ist er an massiv vielen ICMP-Floodings im lokalen Netz. Seien Sie vorsichtig. Lassen Sie MSBLAST sich nicht weiter verbreiten!
Darüber und darunter ein Link zum Download eines Entferntools zu www.wikipedia-download.org/…
Ähm, hab dort keinen Downloadbereich gefunden und hab den Link nicht angefasst…
Wer weiß näheres?
Grüße
Ninobi
