Weitere Details zum Wurm W32.Blaster

Der Wurm W32.Blaster, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, bremst sich in der Verbreitung selbst aus, da er bei einem Angriff nicht erkennen kann, ob ein System bereits befallen ist. Erst nach einem erfolgreichen Angriff überprüft der Wurm, ob "msblast.exe" schon vorhanden ist und infiziert das System nicht neu. Darüber hinaus bringt der Wurm auch bereits befallene Windows-XP- und 2000-Systeme zum Absturz und begrenzt damit seine eigene Ausbreitungsgeschwindigkeit.

Der zum Angriff verwendete Code benutzt zwei so genannte Offsets, die für Windows XP und Windows 2000 unterschiedlich sind. Wird der falsche Offset gewählt, stürzt der RPC-Dienst des angegriffenen Systems ab; der Rechner wird neu gestartet. Dies äußert sich in einem Pop-up-Fenster mit einer entsprechenden Meldung. Unter Windows XP kann man diese Verhaltensweise beeinflussen. Der RPC-Endpointmapper (Einstellungen/Verwaltung/Dienste/RPC-Prozeduraufruf/Wiederherstellen) lässt sich so konfigurieren, dass nur der Dienst neu gestartet wird (Dienst neu starten), nicht jedoch der ganze Rechner.

Mittlerweile mehren sich die Meldungen, dass doch mehr Unternehmensnetzwerke als angenommen befallen sind. Offenbar wurde der Wurm über infizierte Laptops in die Netze geschleppt oder über falsch konfigurierte Firewalls. Der Stern berichtet über den Zusammenbruch des Verkehrsamtes im US-Bundesstaat Maryland, in Intels Netzwerken soll der Wurm auch kurz aufgetaucht sein, eine Zweigstelle der amerikanischen Notenbank in Atlanta hat es ebenfalls erwischt und BMW hat den Schädling inzwischen unter Kontrolle. Mit weiteren Ausfällen ist noch zu rechnen.

Als weitere Alternative zur Abwehr des Wurms schlagen einige Sicherheitsexperten die Deaktivierung des DCOM-Dienstes vor. Der DCOM-Dienst kann unabhängig vom RPC-Dienst deaktiviert werden. Mit "dcomcnfg.exe" kann man den DCOM-Dienst unter Komponentendienste/Computer/Arbeitsplatz/Standardeigenschaften deaktivieren. Allerdings funktionieren dann einige Programme nicht mehr, wie zum Beispiel der Media Player. Unter Windows 2000 kann man DCOM aber erst ab SP3 vollständig abschalten, bleibt also auf Systemen ohne dieses Service-Pack weiterhin angreifbar, auch wenn er scheinbar ausgeschaltet ist.

Kritik wird nun an der Informationspolitik von Microsoft laut, die viele Anwender über die Gefahren aktueller Sicherheitslöcher in Windows im Unklaren gelassen hat. Zu aktuellen Sicherheitslöchern und den dazugehörigen Updates gibt es zwar eine Seite von Microsoft, die wird aber von Privatanwender so gut wie nie besucht. Und die Funktion des eingebauten automatischen Updates wird meist kurz nach der Installation von Windows deaktiviert -- wer will schon gleich ein 100 MByte großes Service-Pack nachinstallieren.

Lesen Sie dazu auch den Kommentar auf heise Security:

• Lehren aus "Einmal Wurm mit Ansagen"

Weitere Informationen zu W32.Blaster: (dab)

• RPC/DCOM-Wurm W32.Blaster mutiert
• W32.Blaster attackiert auch Nicht-Windows-Systeme
• W32.Blaster befällt Hunderttausende von PCs
• Schutz vor RPC/DCOM-Wurm W32.Blaster
• Alle Schotten dicht -- W32.Blaster greift an