Virus-Warnung aufgrund grosser Verbreitung!
Name: W32.Blaster.Worm
Alias: W32/Lovsan.worm [McAfee]
WORM_MSBLAST.A [Trend]
Art: Wurm
Groesse des Anhangs: 6.176 Bytes (UPX gepackt)
Betriebssystem / Software: Windows NT/2000/XP
Art der Verbreitung: Netzwerk
Verbreitungsgrad: hoch
Risiko bei Aktivierung: mittel
Schadensfunktion: unkontrollierter Rechnerabsturz
Lauschen auf Port 135
Entfernung: aktuelle Definitionen
(ab 11.08.2003)
Spezielle Entfernung: Tool
Bekannt seit: 11.08.2003
Beschreibung:
W32.Blaster.Worm ist ein Wurm, der sich ueber das Netzwerk verbreitet.
Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Dabei handelt
es sich um einen nicht geprueften Puffer im "Windows Distributed
Component Object Model (DCOM) Remote Procedure Call (RPC) Interface".
Durch Ueberschreiben der Puffergrenze kann beliebiger Programmcode aus-
gefuehrt werden. Diese Schwachstelle befindet sich in nicht-gepatchten
Windows NT/2000/XP-Systemen.
Informationen zu dieser Schwaeche finden Sie im Microsoft Security
Bulletin MS03-026
<http://www.microsoft.com/technet/security/bulletin/MS03-026.asp>
W32.Blaster.Worm sucht ueber TCP Port 135 einen angreifbaren Rechner.
Dieser Rechner wird dazu gebracht, das Programm des Wurms (MSBLAST.EXE)
per FTP in das Verzeichnis C:\Windows\System32 oder C:\WINNT\System32
zu laden.
Diese Datei laedt der Rechner vom bereits infizierten System. Dazu
simuliert der Wurm auf dem infizierten System einen TFTP-Server.
Nach dem Download wird die Kopie des Wurms auf dem neuen Rechner
ausgefuehrt. Es beginnt ein neuer Infektionszyklus.
Der Wurm selbst ist UPX-gepackt.
Er enthaelt einen Text, der jedoch nicht angezeigt wird:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix
your software!!
Zum automatischen Start erzeugt W32.Blaster.Worm den Registrier-
schluessel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
mit dem Wert
"windows auto update" = MSBLAST.EXE
Bei der Suche nach angreifbaren Rechnern werden zunaechst die lokalen
Subnetze durchsucht. Danach werden zufaellige IP-Adressen zur Suche
verwendet.
Weiterhin fuehrt der W32.Blaster.Worm eine sog. DDoS-Attacke
(DDoS = distributed denial of service) gegen einen Microsoft-Server
durch (windowsupdate.com).
Dabei wird dieser Server mit so vielen Anfragen ueberflutet, dass er
nicht mehr antworten kann. Diese Attacke wird in den Monaten Januar
bis Auguste vom 16. bis zum Ende des Monats gemacht, in den Monaten
September bis Dezember wird die Attacke fortlaufend (taeglich) durch-
gefuehrt.
Hinweis:
Da sich der Wurm nicht ueber E-Mail-Nachrichten versendet, kann er an
Mail-Gateways nicht abgefangen werden.
Administratoren sollten (wenn moeglich) auf der Firewall die Ports
135 TCP, 69 UDP und 4444 TCP schliessen.
Aktuelle Virendefinitionen erkennen die Datei MSBLAST.EXE waehrend des
Downloads.
Entfernungs-Programm
Von Symantec wird ein spezielles Entfernungs-Programm fuer
W32.Blaster.Worm zum kostenlosen Download bereitgestellt.
Ein Update der Viren-Schutzsoftware ist erforderlich.
Viren-Signaturen ab dem 12.08.2003 koennen diesen Wurm erkennen.
Informieren Sie sich dazu beim Hersteller des Viren-Schutzprogramms.
Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswuerdigen
Absendern pruefen, ob der Text der Nachricht auch zum Absender passt
(englischer Text von deutschem Partner, zweifelhafter Text oder fehlen-
der Bezug zu konkreten Vorgaengen etc.) und ob die Anlage (Attachment)
auch erwartet wurde.
Das BSI empfiehlt, den Versand / Empfang von ausfuehrbaren Programmen
(Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode
enthalten koennen (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch
abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen
Absender geschickt und nicht von einem Virus verbreitet wird.
Eine aktuelle Version der Virenbeschreibung ist unter
http://www.bsi.bund.de/av/vb/blaster.htm abrufbar.
Fragen richten Sie bitte an wid-virinfo@bsi.bund.de
[quelle: Bundesamt fuer Sicherheit in der Informationstechnik
www.bsi.bund.de