W32.Blaster.Worm

Aufgrund der gesunkenen Zahl von Meldungen hat Symantec Security Response diese Bedrohung am 8. Oktober 2003 von Kategorie 4 auf Kategorie 3 herabgesetzt.

W32.Blaster.Worm ist ein Wurm, der die DCOM RPC-Schwachstelle (beschrieben im Microsoft Security Bulletin MS03-026) über den TCP-Port 135 ausnutzt. Der Wurm greift nur Computer mit den Betriebssystemen Windows 2000 und Windows XP an. Zwar ist die oben genannte Sicherheitslücke auch auf Windows NT- und Windows 2003-Servern vorhanden (soweit diese nicht mit dem entsprechenden Patch versehen wurden), der Wurm enthält jedoch keinen Code zum Replizieren auf diese Systeme. Dieser Wurm versucht, die Datei msblast.exe in das Verzeichnis %WinDir%\system32 herunterzuladen und anschließend auszuführen. W32.Blaster.Worm ist kein Massen-Mail-Wurm.

Zusätzliche Informationen und eine alternative Website, von der der Microsoft-Patch heruntergeladen werden kann, sind im Microsoft-Artikel W32.Blaster.Worm verfügbar.

Wir empfehlen Ihnen, auf der Firewall-Ebene den Zugriff auf den TCP-Port 4444 zu sperren und anschließend die folgenden Ports zu blockieren, wenn diese nicht die aufgeführten Anwendungen verwenden:

• TCP-Port 135, "DCOM RPC"
• UDP-Port 69, "TFTP"
  

Der Wurm versucht außerdem, einen Denial-of-Service- (DoS) -Angriff auf den Microsoft Windows Update-Webserver (windowsupdate.com) zu starten. Dadurch versucht er, zu verhindern, dass Sie auf Ihrem Computer einen Patch gegen die DCOM RPC-Schwachstelle installieren können.

Klicken Sie hier, um weitere Informationen zu der Schwachstelle, die dieser Wurm ausnutzt, zu erhalten, und um herauszufinden, mit welchen Symantec Produkten das Risiko einer Ausnutzung dieser Schwachstelle verringert werden kann.

---

Hinweis: Diese Bedrohung wird durch Virusdefinitionen mit folgenden Merkmalen entdeckt:

• Definitionsversion: 50811s
• Folgenummer: 24254
• Erweiterte Version: 8/11/2003, rev. 19

---

Symantec Security Response hat ein Programm zur Entfernung von W32.Blaster.Worm-Infektionen entwickelt.


Webcast für W32.Blaster.Worm
Über folgende URL können Sie einen englischsprachigen Webcast erhalten, der detaillierte Eingrenzungs- und Lösungsstrategien sowie eine ausführliche Beschreibung des DoS-Angriffs enthält.

http://enterprisesecurity.symantec.com/content/webcastinfo.cfm?webcastid=63

Security Response hat einige Informationen zur Verfügung gestellt, um Netzwerkadministratoren bei ihren fortwährenden Bemühungen zu helfen, mit W32.Blaster.Worm infizierte Computer in ihren Netzwerken aufzuspüren. Weitere Informationen finden Sie im englischsprachigen Dokument Detecting network traffic that may be due to RPC worms.




Zusätzliche Informationen und eine alternative Website, von der der Microsoft-Patch heruntergeladen werden kann, sind im Microsoft-Artikel W32.Blaster.Worm verfügbar.

Schutz

• Erste Version der Rapid Release-Definitionen: 11 August 2003
• Neueste Version der Rapid Release-Definitionen: 10 April 2009 Änderung 001
• Erste Version der Daily Certified-Definitionen: 11 August 2003
• Neueste Version der Daily Certified-Definitionen: 15 April 2009 Änderung 048
• Anfangsdatum der Weekly Certified-Definitionen: 11 August 2003

Klicken Sie hier, um eine ausführliche Beschreibung der Rapid Release- und Daily Certified-Virendefinitionen zu erhalten.

Beurteilung der Bedrohung

Im Umlauf

• Im Umlauf: Gering
• Anzahl der Infektionen: More than 1000
• Anzahl der Websites: More than 10
• Geografische Verbreitung: Hoch
• Bekämpfungschance: Mittel
• Entfernung: Mittel

Schaden

• Schadensstufe: Mittel
• Auslöser des destruktiven Auftrags: Wenn das eingestellte Datum zwischen dem 16. und dem Monatsende in einem Monat vor August liegt oder an jedem Tag zwischen dem 16. August und dem 31.Dezember.
• Destruktiver Auftrag: Führt einen Denial-of-Service-Angriff auf windowsupdate.com aus
• Verursachen von Systeminstabilität: Infizierte Computer stürzen möglicherweise ab.
• Manipulation von Sicherheitseinstellungen: Es wird eine versteckte, entfernte Cmd.exe-Shell geöffnet.

Verteilung

• Grad der Verteilung: Mittel
• Ports: TCP 135, TCP 4444, UDP 69
• Ziel der Infektion: Computer, auf denen anfällige DCOM RPC-Dienste ausgeführt werden.