W32.Blaster befällt Hunderttausende von PCs

W32.Blaster verbreitet sich weiter, allerdings doch nicht so dramatisch wie zunächst angenommen. In der Mehrzahl wurden bisher Privatanwender befallen.

In Pocket speichern vorlesen Druckansicht 1068 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

W32.Blaster verbreitet sich weiter, allerdings doch nicht so dramatisch wie zunächst angenommen. Die Angaben über die Zahl der bisher von W32.Blaster weltweit befallenen Systeme schwanken zwischen 120.000 (Symantec) und 1.4 Millionen (CERT/CC). Der Grund für die Diskrepanz liegt in der unterschiedlichen Zählweise von IP-Adressen, von denen Verbindungen ausgehen, die auf einen Wurmbefall schließen lassen. Die Zahl wird aber eher gegen das untere Ende der Skala tendieren, da der Wurm im Vergleich zu bisherigen Schädlingen wie Code Red oder SQL-Slammer eine wesentlich langsamere Verbreitungsgeschwindigkeit hat und schlampig programmiert wurde.

Nach Angaben der Sicherheitsfachleute von eEye ist ein Wurm, der Programmteile nachladen muss, ineffizient und fehleranfällig. Der bisher zu verzeichnende Schaden beschränkt sich auf eine erhöhte Netzlast, teils durch den Wurm verursacht, teils durch Heimanwender, die versuchen, sich den Patch zum Beseitigen des Sicherheitslochs von Microsofts Website zu besorgen.

In der Mehrzahl sind bisher Privatanwender befallen worden, die über keine Schutzfunktionen wie zum Beispiel Router oder Personal Firewall verfügen. Unternehmensnetzwerke sind bisher weitestgehend verschont geblieben, nicht zuletzt durch leistungsfähige Firewalls und Intrusion Detection Systeme (IDS), die verdächtige Aktivitäten sofort melden und Gegenmaßnahmen einleiten. Die Signaturen, um Angriffe auf das RPC/DCOM-Sicherheitsloch zu erkennen, waren für das Open-Source-IDS Snort bereits mit dem Auftauchen der ersten Exploits ("dcom.c") verfügbar.

Mittlerweile haben einige Internet-Provider auf den Wurmangriff reagiert und Verbindungen über Port 135 in ihren Netzen gesperrt. W32.Blaster ist in diesen Netzen die Grundlage für eine weitere Verbreitung genommen worden, da er über diesen Port das Sicherheitsloch ausnutzt. Da aber immer noch andere Exploits kursieren, die Windows-PCs über andere Ports zumindest zum Absturz bringen, kann noch keine Entwarnung gegeben werden. Nach Angaben von Trend Micro ist schon ein neuer Wurm im Internet im Umlauf, der PCs auf die gleiche Art und Weise befällt wie Blaster. Im Gegensatz dazu öffnet er aber so genannte Backdoors in den Internet Relay Chat (IRC), die einem Angreifer die Kontrolle über das System ermöglichen.

Siehe dazu auch: (dab)