W32.Blaster.Worm (CERT Bund vom 12.08.2003)

  • Informationen zu Programmen mit Schadfunktionen - VIRINFO 03/006 vom 12.08.2003 / Virus-Warnung aufgrund großer Verbreitung! Name: W32.Blaster.Worm Alias: W32/Lovsan.worm [McAfee] / WORM_MSBLAST.A [Trend] / Art: Wurm Größe des Anhangs: 6.176 Bytes (UPX gepackt) Betriebssystem / Software: Windows NT/2000/XP / Art der Verbreitung: Netzwerk / Verbreitungsgrad: hoch / Risiko bei Aktivierung: mittel Schadensfunktion: unkontrollierter Rechner-Absturz; Lauschen auf Port 135 / Entfernung: aktuelle Definitionen (ab 11.08.2003) Spezielle Entfernung: Tool / Bekannt seit: 11.08.2003 Beschreibung: W32.Blaster.Worm ist ein Wurm, der sich über das Netzwerk verbreitet. Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Dabei handelt es sich um einen nicht geprüften Puffer im "Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) Interface". Durch Überschreiben der Puffergrenze kann beliebiger Programmcode ausgeführt werden. Diese Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP-Systemen. https://www.heise.de/newsticke…x-zum-Download-83847.html - Informationen zu dieser Schwäche finden Sie bei Heise oder im Microsoft Security Bulletin MS03-026 / W32.Blaster.Worm sucht über TCP Port 135 einen angreifbaren Rechner. Dieser Rechner wird dazu gebracht, das Programm des Wurms (MSBLAST.EXE) per FTP in das Verzeichnis C:WindowsSystem32 oder C:WINNTSystem32 zu laden. Diese Datei lädt der Rechner vom bereits infizierten System. Dazu simuliert der Wurm auf dem infizierten System einen TFTP-Server.Nach dem Download wird die Kopie des Wurms auf dem neuen Rechner ausgeführt. Es beginnt ein neuer Infektionszyklus. Der Wurm selbst ist UPX-gepackt. Er enthält einen Text, der jedoch nicht angezeigt wird: I just want to say LOVE YOU SAN!!billy gates why do you make this possible ? Stop making money and fix your software!! Zum automatischen Start erzeugt W32.Blaster.Worm den Registrierschluessel HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunmit dem Wert "windows auto update" = MSBLAST.EXE - Bei der Suche nach angreifbaren Rechnern werden zunächst die lokalen Subnetze durchsucht. Danach werden zufällige IP-Adressen zur Suche verwendet.Weiterhin führt der W32.Blaster.Worm eine sog. DDoS-Attacke (DDoS = distributed denial of service) gegen einen Microsoft-Server durch (windowsupdate.com).Dabei wird dieser Server mit so vielen Anfragen überflutet, dass er nicht mehr antworten kann. Diese Attacke wird in den Monaten Januar bis Auguste vom 16. bis zum Ende des Monats gemacht, in den Monaten September bis Dezember wird die Attacke fortlaufend (täglich) durchgeführt. Hinweis: Da sich der Wurm nicht über E-Mail-Nachrichten versendet, kann er an Mail-Gateways nicht abgefangen werden.Administratoren sollten (wenn möglich) auf der Firewall die Ports 135 TCP, 69 UDP und 4444 TCP schließen. Aktuelle Virendefinitionen erkennen die Datei MSBLAST.EXE während des Downloads. Entfernungs-Programm von Symantec wird ein spezielles Entfernungs-Programm für W32.Blaster.Worm zum kostenlosen Download bereitgestellt. Ein Update der Viren-Schutzsoftware ist erforderlich. Viren-Signaturen ab dem 12.08.2003 können diesen Wurm erkennen. Informieren Sie sich dazu beim Hersteller des Viren-Schutzprogramms.Generelle Hinweise:Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde. Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird. http://www.bsi.bund.de/av/vb/blaster.htm - Eine aktuelle Version der Virenbeschreibung ist beim BSI abrufbar BSI - Bundesamt für Sicherheit in der Informationstechnik Referat I 2.1 CERT-Bund Telefon: +49-228-9582-444 / FAX: +49-228-9582-427 / virinfo@bsi.bund.de / http://www.bsi.bund.de