RPC/DCOM-Wurm W32.Blaster mutiert

Neue Varianten des Wurms verbreiten sich im Internet und installieren nun teilweise auch Backdoors.

In Pocket speichern vorlesen Druckansicht 563 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Nach dem Auftauchen der ersten Variante WORM_RPCSDBOT über die bereits gestern berichtet wurde, sind weitere Mutationen von W32.Blaster alias Lovsan gesichtet worden. W32.Blaster.B und Blaster.C unterscheiden sich vom Ursprungsschädling nur durch die Umbenennung der Wurmdatei "msblast.exe" in "penis32.exe" und "teekids.exe" sowie den entsprechend geänderten Einträgen in der Registry (HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run) unter "windows auto update" beziehungsweise ”Microsoft Inet xp..". Die Hersteller von Antivirensoftware haben ihre Signaturen auf den neuesten Stand gebracht und zum Download bereitgestellt.

Neben WORM_RPCSDBOT wird der Wurm auch als Transportmittel für weitere Trojaner mißbraucht. TROJ_MSBLAST.DRP ist eine Kombination aus W32.Blaster.C und dem Backdoor-Programm BKDR_LITH.103.A, das sich als ROOT32.EXE im Windows-Systemverzeichnis breit macht. Damit sind nun auch PCs von Heimanwendern direkt bedroht, da die Backdoor den Zugriff für jedermann auf das System ermöglicht. Bisher benutzte der Wurm die PCs nur als Verbreitungsplattform und hatte keine Schadfunktion.

Microsoft hat am 12. August, also dem Tag des Ausbruchs des Wurms, einen Artikel des Kolumnisten Tony Northrup auf seinen Seiten veröffentlicht, der den Einsatz von Firewalls empfiehlt. Darin werden sowohl Hardware-Firewalls als auch Personal-Firewalls beschrieben, mit denen Angriffe aus dem Internet abgeblockt werden können. Windows XP hat eine Software-Firewall bereits fest installiert, die bei vielen aber deaktiviert ist. Standardmäßig sollte sie auf DFÜ-Verbindungen aktiviert sein, einige ISDN-Karten benutzen aber proprietäre Schnittstellen, bei denen dies nicht der Fall ist.

Weitere Informationen zum Schutz:

Weitere Informationen zu W32.Blaster: (dab)