Stichpunkte

Allgemein
	W32.Blaster (auch: W32.Lovsan und MSBlast) ist ein Computerwurm
	der sich durch Ausnutzung einer Sicherheitslücke in der RPC-Schnittstelle von Microsoft Windows verbreitet
	XP und den Windows Server 2003 über den TCP-Port 135
	Der Wurm verbreitet sich ausschließlich über die Betriebssysteme Windows 2000
	Das Distributed Computing Environment (DCE)
	verwendet auch RPCs über Port 135
	das auf einer Vielzahl verschiedener Betriebssysteme installiert sein kann
	In Folge einer Schwachstelle in der Implementierung einiger Hersteller kann auf manchen Plattformen der DCE-Dienst zum Absturz gebracht werden
	Der Wurm kann allerdings bei einem Angriff nicht erkennen ob das Angriffsziel bereits befallen ist
	da er auch bereits befallene Windows-Rechner zum Absturz bringt
	Er bremst sich deshalb in der Verbreitung selbst aus
	Erst wenn der Angriff erfolgreich war
	wird überprüft ob die Datei msblast.exe bereits auf der Festplatte vorhanden ist
	Der Wurm sollte am 16
	"Verbergen") 1 Mutationen 2 Erkennung 2.1 Erkennung für Fortgeschrittene 3 Funktionsweise 4 Weblinks [Bearbeiten]
	August 2003 einen Distributed Denial of Service-Angriff auf die Updateseiten der Firma Microsoft durchführen
	auf denen auch der Patch für die Sicherheitslücke lagert. Inhaltsverzeichnis showTocToggle("Anzeigen"
Mutationen
	Mittlerweile tritt der Wurm auch in zahlreichen Mutationen auf
	Eine dieser Mutationen kombiniert den Virus mit einem Trojanischen Pferd
	sondern die Systeme der Nutzer für einen zukünftigen Angriff präpariert
	da der Wurm sich nicht mehr auf die Verbreitung beschränkt
	Diese Entwicklung stellt mittlerweile auch eine direkte Bedrohung für die Systemsicherheit der Anwender dar
	bei dem die Wurmdatei in "teekids.exe" umbenannt wurde Variante C in Kombination mit dem Trojaner BKDR_LITH.103.A
	Der Wurm tritt mittlerweile in fünf Varianten auf: Variante A Variante B
	bei dem die Wurmdatei in "penis32.exe" umbenannt wurde Variante C
	der eine Backdoor installiert
	trägt unter anderem die Bezeichnungen Nachi
	Welchia und Lovsan.D
	Variante D
	Der Schädling sucht auch auf dem TCP-Port 135 nach verwundbaren Windows-Systemen im Internet
	um das im März 2003 entdeckte WebDAV-Sicherheitsloch zur Verbreitung zu nutzen. Über das RPC-Leck greift der Wurm nur Maschinen mit Windows XP an
	während über die WebDAV-Lücke sowohl Systeme mit Windows 2000 als auch XP attackiert werden
	Alternativ sendet der Wurm Daten über den TCP-Port80
	Zu erkennen ist er an massiv vielen ICMP-Floodings im lokalen Netz. [Bearbeiten]
Erkennung
	Eine Infektion durch W32.Blaster lässt sich folgendermaßen erkennen: Links unten auf "Start" klicken
	dann auf "Suchen" und jetzt auf "Nach Dateien und Ordnern". Dann nach "msblast.exe" suchen. Nach "penis32.exe" suchen. Nach "teekids.exe" suchen. Findet der Rechner einer der Dateien
	ist der Computer infiziert. [Bearbeiten]
Erkennung für Fortgeschrittene
	Wenn das Dateisystem sehr groß ist
	dann dauert es vielleicht etwas zu lange
	alle Festplatten zu durchsuchen
	In diesem Fall kann der Befall auch in der Registry an den folgenden Schlüsseln erkannt werden: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "windows auto update" = msblast.exe HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill Bei den Varianten B und C des Virus findet sich hier statt "msblast.exe" die Dateien "penis.exe" oder "teekids.exe" sowie ein etwas anderer Text
	W32.Blaster macht sich auch durch Abstürze des Rechners bemerkbar
	die von der Meldung "Windows muss jetzt neu gestartet werden
	da der Dienst Remoteprozedurablauf unerwartet beendet wurde." begleitet werden. [Bearbeiten]
Funktionsweise
	welche auf den TCP-Port 4444 lauscht Der Angreifer führt einen Befehl über die Shell aus um das Opfer zu veranlassen den Wurm zu installieren Der Angreifer beendet die Verbindung zur Shell des Opfers
	Netzwerksicherheit
	anschließend stoppt die Shell das Lauschen auf dem TCP-Port 4444 des Opfers Das Opfer startet einen TFTP Server und Prozesse anderer Anweisungen (z.B. zur Änderung der Registrierungsschlüssel
	Der Angreifer lässt einen TFTP Server laufen um den Wurm einzuschleusen. Eine Verbindung wird zwischen dem Angreifer und seinem Opfer auf dem TCP-Port 135 hergestellt Eine Shell wird auf dem Opfer hergestellt
	Computerwurm
	Liste von Computerviren [Bearbeiten]
	etc...) Siehe auch: Computervirus
Weblinks
	Microsoft: Deutschsprachige Informationen zur Sicherheitslücke und Patch zur ihrer Beseitigung (http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm) Microsoft Security Bulletin MS03-026 (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp) (englisch) Informationen zu W32.Blaster.Worm (http://www.microsoft.com/germany/ms/technetservicedesk/Important.htm) Bundesamt für Sicherheit in der Informationstechnik: Informationen zum W32.Blaster-Wurm (http://www.bsi.bund.de/av/vb/blaster.htm) Programme zur Entfernung des W32.Blaster (http://www.heise.de/security/news/meldung/39461) Artikel: "San
	I love you!" und alles steht Kopf (http://www.sbznet.de/?rubrik=digital&thema=03-08-16-01) (sbznet.de (http://www.sbznet.de)) en:Blaster worm

Dieser Artikel basiert auf dem Artikel W32.Blaster aus der freien Enzyklopädie wikipedia und steht unter der GNU Lizenz für freie Dokumentation. In der wikipedia ist eine Liste der Autoren verfügbar.