Microsoft lässt Angriff von Lovsan/W32.Blaster ins Leere laufen
Seit heute versuchen die mit LoveSAN/W32.Blaster infizierten Rechner, Microsofts Update-Server lahmzulegen. Aber die Redmonder haben rechtzeitig reagiert.
Seit dem 16. August versuchen alle mit LoveSAN/W32.Blaster infizierten Rechner den Microsoft-Update-Server "windowsupdate.com" lahmzulegen, indem sie ihn mit sinnlosen Anfragen bombardieren. Doch Microsoft hat die Zeit vor dem Angriff genutzt und geschickt reagiert. Die Redmonder haben den im Wurm fest einprogrammierten Namen aus der Namensauflösung (DNS) genommen, sodass die Anfrage nach dessen IP-Adresse einen Fehler zurückliefert. Somit können die infizierten Rechner die Microsoft-Server nicht erreichen, um ihre Denial-of-Service-Angriffe zu starten: Der Angriff läuft ins Leere.
So verlief der mit Spannung erwartete Samstag im Internet vergleichsweise ruhig. Die Seiten zum RPC-Patch gegen W32.Blaster/Lovsan und die dort verlinkten Patches waren jedenfalls weitgehend problemlos zu erreichen.
Die Stilllegung der attackierten Adresse war relativ problemlos möglich, weil die im Internet Explorer eingebaute Update-Funktion eine andere Adresse (windowsupdate.microsoft.com) benutzt. "windowsupdate.com" wurde vor allem in Links zu Updates verwendet. Diese haben die Microsoft-Mitarbeiter in den letzten Tagen anscheinend fieberhaft ersetzt, sodass nun ein Großteil des Angebots normal zu erreichen ist.
Mittlerweile hat Microsoft zudem zusätzliche Ressourcen für die Update-Site nicht nur im eigenen Netz, sondern auch bei dem Web-Dienstleister und Load-Balancer Akamai untergebracht. Microsoft Deutschland schaltete am heutigen Samstag ganzseitige Anzeigen in den Tageszeitungen, in denen die Firma noch einmal über das Auftreten des Wurms informierte. Der Konzern versprach in der Anzeige, bei Problemen nicht nur auf der Website von Microsoft Deutschland, sondern auch über in der Anzeige angegebene kostenlose Support-Telefonnummern, die das ganze Wochenende aktiv sind, Hilfestellung zu geben. Ein Hinweis auf Microsofts Security-Informationsdienst ergänzt die Angaben in der Anzeige.
Zum Schutz vor dem W32.Blaster-Wurm siehe auch:
Zur aktuellen Situation und zu Details des Wurms siehe:
- Microsoft und der Wurm: "Da sind Fehler gemacht worden"
- Doch ein Zusammenhang zwischen Blackout und Windows-Wurm?
- RPC/DCOM-Wurm W32.Blaster mutiert
- W32.Blaster attackiert auch Nicht-Windows-Systeme
- Weitere Details zum Wurm W32.Blaster
- W32.Blaster befällt Hunderttausende von PCs
- Schutz vor RPC/DCOM-Wurm W32.Blaster
- Alle Schotten dicht -- W32.Blaster greift an
Zu den Problemen und Versäumnissen, die das Auftauchen des Wurms aufzeigte, siehe auch den Kommentar auf heise Security: (ju)