|
15.August.2003
- Sonderausgabe 01-2003
Willkommen
zur Sonderausgabe des Newsletters
Dies
ist eine Sonderausgabe meines Newsletters zum Ausbruch des Virus
Blaster.
Es
verbreitet sich im Augenblick ein neuer Virus mit atemberaubender
Geschwindigkeit. Es handelt sich um den MSBlaster alias Lovesan
(Bezeichnungen der Anitvirenhersteller W32.Blaster.Worm [Symantec],
W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure],
WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda],
Worm.Win32.Lovesan [KAV]).
Sollten
Sie schon vom Virus befallen sein, helfen Ihnen die Links am Ende
der Seite oder der Faxabruf des BSI
unter der Nummer 01 80/5 15 15 15 (12 ct/min).
Beschreibung:
Der Wurm nutzt die seit dem 18.07.2003 bekannte DCOM RPC-Schwachstelle
(beschrieben
im Microsoft Security Bulletin MS03-026) über den TCP-Port
135 aus. Er versucht dabei, die Datei msblast.exe in das Verzeichnis
%WinDir%\system32 herunterzuladen und auszuführen.
Sperren
Sie also auf der Firewall-Ebene den Zugriff auf den TCP-Port 4444
und sperren Sie anschließend die folgenden Ports, wenn diese
nicht die aufgeführten Anwendungen verwenden:
TCP-Port 135, "DCOM RPC"
UDP-Port 69, "TFTP"
Der
Wurm versucht außerdem, einen Denial-of-Service- (DoS) -Angriff
auf Windows Update zu starten. Dadurch versucht er, zu verhindern,
dass Sie auf Ihrem Computer einen Patch gegen die DCOM RPC-Schwachstelle
installieren.
Schäden:
Verursachen von Systeminstabilität: Infizierte Computer
stürzen möglicherweise ab.
Veränderung von Sicherheitseinstellungen: Es wird eine versteckte,
entfernte Cmd.exe-Shell geöffnet.
Verbreitung:
Anschlüsse: TCP 135, TCP 4444, UDP 69
Ziel der Infektion: Computer, auf denen anfällige DCOM RPC-Dienste
ausgeführt werden.
Direkt sind nur Rechner mit den Betriebssystemen
Windows NT/2000/XP betroffen.
Allerdings können auch andere Maschinen auf denen das plattform-spezifische
Distributed Computing Environment (DCE) auf Basis der Entwicklungen
der Open Software Foundation (OSF) installiert ist befallen werden.
Hierzu ein Artikel
von Heise Online.
Technische
Details:
Bei Ausführung geht W32.Blaster.Worm folgendermaßen
vor:
Er erzeugt eine Mutex mit dem Namen "BILLY." Ist diese
Mutex vorhanden, so wird der Wurm ausgeführt.
Er fügt den Wert
"windows
auto update"="msblast.exe"
dem
folgenden Registrierungsschlüssel hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dadurch
wird der Wurm ausgeführt, sobald Sie Windows starten.
Er
generiert eine IP-Adresse und versucht, den Computer mit dieser
Adresse zu infizieren. Die IP-Adresse wird anhand des folgenden
Algorithmus generiert:
In
40 % der Fälle wird die IP-Adresse nach dem Schema A.B.C.0
generiert, wobei A und B den ersten beiden Teilen der IP-Adresse
des infizierten Computers entsprechen.
C
wird mit dem dritten Teil der IP-Adresse des infizierten Systems
berechnet. In 40 % der Fälle prüft der Wurm, ob C größer
als 20 ist. Ist dies der Fall, so wird ein willkürlicher
Wert, der kleiner als 20 ist, von C abgezogen. Nach Berechnung
der IP-Adresse versucht der Wurm, einen Computer mit der IP-Adresse
A.B.C.0 zu finden und anzugreifen.
Der
Wurm zählt dann von 0 jeweils um 1 aufwärts und versucht
dabei, andere Computer auf Grundlage der neuen IP-Adresse zu finden
und auszunutzen, bis der Wert 254 erreicht ist.
In
60 % der Fälle wird die IP-Adresse völlig zufällig
generiert.
Er
sendet Daten auf dem TCP-Port 135, durch die die DCOM RPC-Sicherheitslücke
ausgenutzt werden kann. Der Wurm sendet eine von zwei Arten von
Daten: Entweder Daten zum Ausnutzen von Windows XP oder zum Ausnutzen
von Windows 2000. In 80 % der Fälle werden Windows XP-Daten
gesendet, und in 20 % der Fälle werden Windows 2000-Daten
gesendet.
HINWEISE:
Das bedeutet, dass das lokale Teilnetz mit Anfragen für den
Port 135 überlastet wird.
Aufgrund der zufälligen Art und Weise, auf die der Wurm die
Angriffsdaten konstruiert, können Computerabstürze verursacht
werden, wenn der Wurm falsche Daten sendet.
Obwohl W32.Blaster.Worm sich nicht auf Windows NT oder Windows
2003 Server ausbreiten kann, können nicht aktualisierte Computer
mit diesen Betriebssystemen aufgrund der Angriffsversuche des
Wurms abstürzen. Wenn der Wurm jedoch auf Computern mit diesen
Betriebssystemen manuell eingebracht und gestartet wird, wird
er ausgeführt und kann sich ausbreiten.
Er erstellt mithilfe von Cmd.exe einen versteckten, entfernten
Shell-Prozess, der den TCP-Port 4444 überwacht. Dies ermöglicht
einem Angreifer, auf dem infizierten System entfernte Befehle
einzugeben.
Er überwacht den UDP-Port 69. Wenn der Wurm eine Anfrage
von einem Computer erhält, mit dem er über die DCOM
RPC-Sicherheitslücke eine Verbindung aufbauen konnte, schickt
er diesem Computer msblast.exe und weist ihn an, den Wurm auszuführen.
Wenn
der aktuell eingestellte Monat ein Monat nach August ist, oder
wenn das aktuelle Datum nach dem 15. liegt, führt der Wurm
einen DoS-Angriff auf Windows Update aus. Der Wurm aktiviert den
DoS-Angriff am 16. dieses Monats und fährt hiermit bis zum
Ende des Jahres fort.
Der
Wurm enthält den folgenden Text, der jedoch nie angezeigt
wird:
I
just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money
and fix your software!!
Dieser
Virus zeigt einmal mehr wie eminent wichtig es ist einen aktuellen
Virenscanner installiert zu haben und regelmäßig die
Sicherheitspatches der Hersteller einzuspielen.
Ein Wurm darf sich nicht derartig schnell derartig weit verbreiten.
Helfen auch Sie mit solche Attacken auf unser aller Sicherheit
in Zukunft zu vermeiden!
Nützliche
www-Links:
http://www.free-av.de/personal/de/avwinsfx.exe
http://www.zonelabs.com/
http://securityresponse.symnatec.com/avcenter/FixBlast.exe
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/index.htm
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm#Patch
http://windowsupdate.com/
|