|
|
|
|
|
|
|
W32.Blaster (auch: W32.Lovsan und MSBlast) ist ein Computerwurm, der sich durch Ausnutzung einer Sicherheitslücke in der RPC-Schnittstelle von Microsoft Windows verbreitet.
Der Wurm verbreitet sich ausschließlich über die Betriebssysteme Windows 2000, XP und den Windows Server 2003 über den TCP-Port 135. Das Distributed Computing Environment (DCE), das auf einer Vielzahl verschiedener Betriebssysteme installiert sein kann, verwendet auch RPCs über Port 135.
In Folge einer Schwachstelle in der Implementierung einiger Hersteller kann auf manchen Plattformen der DCE-Dienst zum Absturz gebracht werden.
Der Wurm kann allerdings bei einem Angriff nicht erkennen ob das Angriffsziel bereits befallen ist. Er bremst sich deshalb in der Verbreitung selbst aus, da er auch bereits befallene Windows-Rechner zum Absturz bringt. Erst wenn der Angriff erfolgreich war, wird überprüft ob die Datei msblast.exe bereits auf der Festplatte vorhanden ist.
Der Wurm sollte am 16. August 2003 einen Distributed Denial of Service-Angriff auf die Updateseiten der Firma Microsoft durchführen, auf denen auch der Patch für die Sicherheitslücke lagert.
Mutationen:
Mittlerweile tritt der Wurm auch in zahlreichen Mutationen auf. Eine dieser Mutationen kombiniert den Virus mit einem Trojanischen Pferd.
Diese Entwicklung stellt mittlerweile auch eine direkte Bedrohung für die Systemsicherheit der Anwender dar, da der Wurm sich nicht mehr auf die Verbreitung beschränkt, sondern die Systeme der Nutzer für einen zukünftigen Angriff präpariert.
Der Wurm tritt mittlerweile in fünf Varianten auf:
- Variante A
- Variante B, bei dem die Wurmdatei in "penis32.exe"
umbenannt wurde
- Variante C, bei dem die Wurmdatei in "teekids.exe"
umbenannt wurde
- Variante C in Kombination mit dem Trojaner BKDR_LITH.103.A,
der eine Backdoor installiert.
- Variante D, trägt unter anderem die Bezeichnungen
Nachi, Welchia und Lovsan.D. Der Schädling sucht
auch auf dem TCP-Port 135 nach verwundbaren Windows-Systemen
im Internet. Alternativ sendet der Wurm Daten über
den TCP-Port80, um das im März 2003 entdeckte
WebDAV-Sicherheitsloch zur Verbreitung zu nutzen.
Über das RPC-Leck greift der Wurm nur Maschinen
mit Windows XP an, während über die WebDAV-Lücke
sowohl Systeme mit Windows 2000 als auch XP attackiert
werden. Zu erkennen ist er an massiv vielen ICMP-Floodings
im lokalen Netz.
Erkennung:
Eine Infektion durch W32.Blaster lässt sich folgendermaßen
erkennen:
- Links unten auf "Start" klicken,
- dann auf "Suchen"
- und jetzt auf "Nach Dateien und Ordnern".
- Dann nach "msblast.exe" suchen.
- Nach "penis32.exe" suchen.
- Nach "teekids.exe" suchen.
Findet der Rechner einer der Dateien, ist der Computer
infiziert.
|
 |
|
|
|
|
Person(en):
Zeitraum:
Firma: |
kein Eintrag vorhanden
- -
kein Eintrag vorhanden |
|
Es gibt 50 weiterführende Erklärungen oder Definitionen:
2000, Absturz,  Allen, Angriff, Anwender, Backdoor, Betriebssystem, Bina, Computer, Datei, Daten, DCE, Distributed Computing Environment, EMSI, Eser, Festplatte, ICMP, Implementierung, Infektion, Link, Lokal, Maschine, Microsoft, Nativ, Netz, Ordner, Patch, Platte, Plattform, Port, Rach, Rechner, RPC, Schnitt, Schnittstelle, Seite, Server, Sicherheitslücke, Soft Windows, System, SYSTEMS, TCP, Trojaner, Update, Window, Windows, Windows 2000, Windows XP, Wurm, Zahl
|
|
| Wie man Viren und Würmer entfernt, kann man klasse bei www.sophos.de nachlesen ! |
|
Veröffentlicht am:
Zuletzt bearbeitet am:
Referenz:
|
11.10.2004 von Wilhelm Janssen (7094) Beiträge
11.10.2004 von Wilhelm Janssen
Wikipedia
|
| ..... Dieser Artikel aus Wikipedia wird durch die GNU FDL lizenziert. ..... |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Bei WinTotal finden Sie Programme und Tools für Microsoft Windows
|
|
| Werbung |
|
| | | | |
|
Bei Validome können Sie Ihre Website auf barrierefreies HTML testen |
|
|
