zurück zum Artikel

W32.Blaster verbreitet sich weiter, allerdings doch nicht so dramatisch wie zunächst angenommen. In der Mehrzahl wurden bisher Privatanwender befallen.

W32.Blaster verbreitet sich weiter, allerdings doch nicht so dramatisch wie zunächst angenommen. Die Angaben [1] über die Zahl der bisher von W32.Blaster weltweit befallenen Systeme schwanken zwischen 120.000 (Symantec) und 1.4 Millionen (CERT/CC). Der Grund für die Diskrepanz liegt in der unterschiedlichen Zählweise von IP-Adressen, von denen Verbindungen ausgehen, die auf einen Wurmbefall schließen lassen. Die Zahl wird aber eher gegen das untere Ende der Skala tendieren, da der Wurm im Vergleich zu bisherigen Schädlingen wie Code Red [2] oder SQL-Slammer [3] eine wesentlich langsamere Verbreitungsgeschwindigkeit hat und schlampig programmiert wurde.

Nach Angaben der Sicherheitsfachleute von eEye [4] ist ein Wurm, der Programmteile nachladen muss, ineffizient und fehleranfällig. Der bisher zu verzeichnende Schaden beschränkt sich auf eine erhöhte Netzlast, teils durch den Wurm verursacht, teils durch Heimanwender, die versuchen, sich den Patch [5] zum Beseitigen des Sicherheitslochs von Microsofts Website zu besorgen.

In der Mehrzahl sind bisher Privatanwender befallen worden, die über keine Schutzfunktionen wie zum Beispiel Router oder Personal Firewall verfügen. Unternehmensnetzwerke sind bisher weitestgehend verschont geblieben, nicht zuletzt durch leistungsfähige Firewalls und Intrusion Detection Systeme (IDS), die verdächtige Aktivitäten sofort melden und Gegenmaßnahmen einleiten. Die Signaturen, um Angriffe auf das RPC/DCOM-Sicherheitsloch [6] zu erkennen, waren für das Open-Source-IDS Snort [7] bereits mit dem Auftauchen der ersten Exploits ("dcom.c") verfügbar.

Mittlerweile haben einige Internet-Provider auf den Wurmangriff reagiert und Verbindungen über Port 135 in ihren Netzen gesperrt. W32.Blaster ist in diesen Netzen die Grundlage für eine weitere Verbreitung genommen worden, da er über diesen Port das Sicherheitsloch ausnutzt. Da aber immer noch andere Exploits kursieren, die Windows-PCs über andere Ports zumindest zum Absturz bringen, kann noch keine Entwarnung gegeben werden. Nach Angaben von Trend Micro ist schon ein neuer Wurm [8] im Internet im Umlauf, der PCs auf die gleiche Art und Weise befällt wie Blaster. Im Gegensatz dazu öffnet er aber so genannte Backdoors in den Internet Relay Chat (IRC), die einem Angreifer die Kontrolle über das System ermöglichen.

Siehe dazu auch: (dab [9])

• Schutz vor RPC/DCOM-Wurm W32.Blaster [10]
• Alle Schotten dicht -- W32.Blaster greift an [11]

URL dieses Artikels:
https://www.heise.de/-83689

Links in diesem Artikel:
[1] http://news.com.com/2100-1002-5062916.html?tag=nl
[2] http://www.eeye.com/html/Research/Advisories/AL20010717.html
[3] https://www.heise.de/news/SQLSlammer-winziger-Wurm-erzeugt-riesigen-Internet-Traffic-73547.html
[4] http://www.eeye.com/html/Research/Advisories/AL20030811.html
[5] http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm
[6] https://www.heise.de/news/Fehler-in-Windows-gefaehrdet-Internet-PCs-82287.html
[7] http://www.snort.org/
[8] http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RPCSDBOT.A
[9] mailto:dab@ct.de
[10] https://www.heise.de/news/Schutz-vor-RPC-DCOM-Wurm-W32-Blaster-83651.html
[11] https://www.heise.de/news/Alle-Schotten-dicht-W32-Blaster-greift-an-83631.html

Copyright © 2003 Heise Medien