Heimtückischer Wurm mit Code Red-Potential
12. August 2003
Letzte Nacht ist ein neuer Wurm namens "MSBlast", auch als "Blaster" oder "LuvSan" bekannt, im Internet aufgetaucht. Offenbar soll sich der Wurm innert kürzester Zeit weit verbreitet haben und könnte laut Experten ähnliche Dimensionen annehmen wie damals CodeRed. Der Wurm nutzt ein Windows-Sicherheitsleck aus, über das Microsoft schon vor einem Monat berichtet hat.
Offenbar lassen sich Windows NT 4, Windows 2000, Windows XP sowie Windows Server 2003 über das Leck im DCOM/RPC-Service mit einem Buffer Overflow angreifen. Es wird davon ausgegangen, dass der Wurm den TCP-Port 135 nutzt. Auf einem ungepatchten System lädt der Wurm via den TFTP-Server – den er selbst installiert – den eigentlichen Code (msblast.exe) herunter, der sich auch in die Registry einträgt. Danach beginnt der Wurm mit dem Scan des Internets nach weiteren ungepatchten Systemen, um sich zu verbreiten, und generiert dabei massiv Traffic.
Daneben soll am 16. August die Site www.windowsupdate.com via Denial-of-Service-Attacke (DoS) lahmgelegt werden. Über diese Seite ist auch der erforderliche Patch erhältlich. Allen Administratoren, die den betreffenden Patch noch nicht eingespielt haben, wird dies nun dringend nahegelegt.
Im Code des Wurms sollen sich offenbar zwei Messages für Microsoft-Vater Bill Gates befinden. Die erste lautet: "billy gates why do you make this possible?"; und die zweite: "stop making money and fix your software!". (IW)
Offenbar lassen sich Windows NT 4, Windows 2000, Windows XP sowie Windows Server 2003 über das Leck im DCOM/RPC-Service mit einem Buffer Overflow angreifen. Es wird davon ausgegangen, dass der Wurm den TCP-Port 135 nutzt. Auf einem ungepatchten System lädt der Wurm via den TFTP-Server – den er selbst installiert – den eigentlichen Code (msblast.exe) herunter, der sich auch in die Registry einträgt. Danach beginnt der Wurm mit dem Scan des Internets nach weiteren ungepatchten Systemen, um sich zu verbreiten, und generiert dabei massiv Traffic.
Daneben soll am 16. August die Site www.windowsupdate.com via Denial-of-Service-Attacke (DoS) lahmgelegt werden. Über diese Seite ist auch der erforderliche Patch erhältlich. Allen Administratoren, die den betreffenden Patch noch nicht eingespielt haben, wird dies nun dringend nahegelegt.
Im Code des Wurms sollen sich offenbar zwei Messages für Microsoft-Vater Bill Gates befinden. Die erste lautet: "billy gates why do you make this possible?"; und die zweite: "stop making money and fix your software!". (IW)
Artikel kommentieren
