||||
Symantec.com > Security Response > W32.Blaster.Worm
DIESE SEITE DRUCKEN

W32.Blaster.Worm

Risikostufe 2: Gering

Druckansicht

Entdeckt am: 11 August 2003
Aktualisiert: 13 Februar 2007 12:10:05 PM
Auch bekannt als: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
Typ: Wurm
Infektionslänge: 6.176 Byte
Betroffene Systeme: Windows 2000, Windows NT, Windows Server 2003, Windows XP
CVE-Referenzen: CAN-2003-0352


Bei Ausführung geht W32.Blaster.Worm folgendermaßen vor:
  1. Er überprüft, ob ein Computer bereits infiziert ist, und ob der Wurm ausgeführt wird. Wenn dies der Fall ist, infiziert der Wurm den Computer nicht ein zweites Mal.

  2. Er fügt den Wert

    "windows auto update"="msblast.exe"

    dem folgenden Registrierungsschlüssel hinzu:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    Dadurch wird der Wurm ausgeführt, sobald Sie Windows starten.

  3. Er generiert eine IP-Adresse und versucht, den Computer mit dieser Adresse zu infizieren. Die IP-Adresse wird anhand der folgenden Algorithmen generiert:
    • In 40 % der Fälle wird die IP-Adresse nach dem Schema A.B.C.0 generiert, wobei A und B den ersten beiden Teilen der IP-Adresse des infizierten Computers entsprechen.

      C wird mit dem dritten Teil der IP-Adresse des infizierten Systems berechnet. In 40 % der Fälle prüft der Wurm, ob C größer als 20 ist. Ist dies der Fall, so wird ein willkürlicher Wert, der kleiner als 20 ist, von C abgezogen. Nach Berechnung der IP-Adresse versucht der Wurm, einen Computer mit der IP-Adresse A.B.C.0 zu finden und anzugreifen.

      Der Wurm zählt dann von 0 jeweils um 1 aufwärts und versucht dabei, andere Computer auf Grundlage der neuen IP-Adresse zu finden und auszunutzen, bis der Wert 254 erreicht ist.
    • In 60 % der Fälle wird die IP-Adresse völlig zufällig generiert.

  4. Er sendet Daten auf dem TCP-Port 135, durch die die DCOM RPC-Sicherheitslücke ausgenutzt werden kann. Der Wurm sendet eine von zwei Arten von Daten: Entweder Daten zum Ausnutzen von Windows XP oder zum Ausnutzen von Windows 2000.

    In 80 % der Fälle werden Windows XP-Daten gesendet, und in 20 % der Fälle werden Windows 2000-Daten gesendet.

    Hinweise:
    • Das lokale Teilnetz wird mit Anfragen für den Port 135 überlastet.
    • Obwohl W32.Blaster.Worm sich nicht auf Windows NT oder Windows Server 2003 ausbreiten kann, können Computer ohne Patch mit diesen Betriebssystemen aufgrund der Angriffsversuche des Wurms abstürzen. Wenn der Wurm jedoch auf Computern mit diesen Betriebssystemen manuell eingebracht und gestartet wird, wird er ausgeführt und kann sich ausbreiten.
    • Aufgrund der zufälligen Art und Weise, auf die der Wurm die Angriffsdaten konstruiert, kann der RPC-Dienst abstürzen, wenn er falsche Daten erhält. Dies äußert sich in der Datei svchost.exe, die aufgrund der falschen Daten Fehlermeldungen generiert.
    • Wenn der RPC-Dienst abstürzt, besteht das Standardverfahren unter Windows XP und Windows Server 2003 darin, den Computer neu zu starten. Um diese Funktion zu deaktivieren, beachten Sie Schritt 1 in den unten stehenden Entfernungsanweisungen.

  5. Er erstellt mithilfe von Cmd.exe einen versteckten, entfernten Shell-Prozess, der den TCP-Port 4444 überwacht. Dies ermöglicht einem Angreifer, auf dem infizierten, entfernten System Befehle einzugeben.

  6. Er überwacht den UDP-Port 69. Wenn der Wurm eine Anfrage von einem Computer erhält, mit dem er über die DCOM RPC-Sicherheitslücke eine Verbindung aufbauen konnte, sendet er die Programmdatei msblast.exe an diesen Computer und gibt den Befehl, den Wurm auszuführen.

  7. Wenn das aktuell eingestellte Datum zwischen dem 16. und dem Monatsende in einem Monat zwischen Januar und August liegt oder wenn der Monat ein Monat zwischen September und Dezember ist, versucht der Wurm, einen DoS-Angriff auf Windows Update auszuführen. Der DoS-Angriff ist jedoch nur erfolgreich, wenn die folgenden Bedingungen zutreffen:
    • Der Wurm wird auf einem Windows XP-Computer ausgeführt, der während des DoS-Ausführungszeitraums entweder infiziert war oder neu gestartet wurde.
    • Der Wurm wird auf einem Windows 2000-Computer ausgeführt, der während des DoS-Ausführungszeitraums infiziert wurde und seit der Infektion nicht mehr neu gestartet wurde.
    • Der Wurm wird auf einem Windows 2000-Computer ausgeführt, der während des DoS-Ausführungszeitraums infiziert wurde und seit der Infektion neu gestartet wurde, wenn der aktuell angemeldete Benutzer über Administratorrechte verfügt.

  8. Der DoS-Verkehr besitzt folgende Merkmale:
    • Port 80 von windowsupdate.com wird mit SYN-Paketen überflutet.
    • Es wird versucht, in jeder Sekunde 50 HTTP-Pakete zu senden.
    • Jedes Paket ist 40 Bytes lang.
    • Wenn der Wurm keinen DNS-Eintrag für windowsupdate.com finden kann, verwendet er eine Zieladresse aus 255.255.255.255.

    Die TCP- und IP-Header besitzen unter anderem folgende, festgelegte Merkmale:
      • IP-Identifikation = 256
      • TTL-Wert (Lebensdauer) = 128
      • Quell-IP-Adresse = a.b.x.y, wobei a.b aus der Host-IP-Adresse stammen und x.y zufällig gewählt sind. In einigen Fällen werden a.b ebenfalls zufällig gewählt.
      • Ziel-IP-Adresse = DNS-Auflösung von "windowsupdate.com"
      • TCP-Quellport = zwischen 1000 und 1999
      • TCP-Zielport = 80
      • TCP-Sequenznummer = die beiden niedrigen Bytes sind auf 0 gesetzt, die beiden hohen Bytes werden zufällig gewählt.
      • TCP-Fenstergröße = 16384 Bytes
Der Wurm enthält den folgenden Text, der jedoch nie angezeigt wird:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

Eingrenzen des Denial-of-Service-Angriffs
Am 15. August 2003 hat Microsoft den DNS-Datensatz für windowsupdate.com entfernt. Der Denial-of-Service-Angriff des Wurms beeinträchtigt zwar nicht mehr die Funktion der Microsoft Windows Update-Website, jedoch können Netzwerkadministratoren die folgenden Empfehlungen trotzdem befolgen, um den DoS-Schaden einzugrenzen.
  • Leiten Sie windowsupdate.com auf eine spezielle interne IP-Adresse um. Dadurch können Sie feststellen, welche Computer infiziert sind, wenn Sie einen "überwachenden Server" haben, der die SYN-Pakete abfängt.
  • Konfigurieren Sie Anti-Spoofing-Regeln für die Router, wenn dies noch nicht durchgeführt wurde. Dadurch wird verhindert, dass eine große Anzahl von Paketen das Netzwerk verlässt. Sehr effektiv ist auch das Verwenden von uRPF oder Zugriffskontrolllisten für ausgehenden Netzwerkverkehr.

Symantec Client Security
Symantec hat am 15. August 2003 über LiveUpdate IDS-Signaturen veröffentlicht, mit denen eine Aktivität der Bedrohung W32.Blaster.Worm erkannt wird.

Symantec Gateway Security
  • Symantec hat am 12. August 2003 eine Aktualisierung für Symantec Gateway Security 1.0 veröffentlicht.
  • Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie vor dieser Microsoft-Sicherheitslücke und blockiert standardmäßig alle oben aufgeführten TCP-Ports. Für maximale Sicherheit blockiert die dritte Generation der vollständigen Anwendungsinspektionstechnologie intelligent das Verwenden von Tunneln für DCOM-Verkehr über HTTP-Kanäle und bietet so eine zusätzliche Schutzebene, die in den meisten Netzwerkfilter-Firewalls noch nicht vorhanden ist.

Symantec Host IDS
Symantec hat am 12. August 2003 eine Aktualisierung für Symantec Host IDS 4.1 veröffentlicht.

Intruder Alert
Symantec hat am 12. August 2003 eine Intruder Alert 3.6 W32_Blaster_Worm Policy herausgebracht.

Symantec Enterprise Firewall
Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie vor W32.Blaster.Worm und blockiert standardmäßig alle oben aufgeführten TCP-Ports.

Symantec ManHunt
  • Die Symantec ManHunt Protocol Anomaly Detection-Technologie erkennt die mit dieser Schwachstelle verbundene Aktivität als "Portsweep." Obwohl ManHunt die mit dieser Schwachstelle verbundene Aktivität mit der Protocol Anomaly Detection-Technologie erkennt, können Sie die benutzerdefinierte Signatur "Microsoft DCOM RPC Buffer Overflow" verwenden, die als Security Update 4 herausgebracht wurde, um eine Ausnutzung der Sicherheitslücke genau zu identifizieren.
  • Security Update 5 wurde herausgebracht, um spezifische Signaturen für W32.Blaster.Worm zu bieten, damit weitere Attribute von W32.Blaster.Worm erkannt werden können.
  • Die Symantec ManHunt Protocol Anomaly Detection-Technologie erkennt die mit der SYN-Paketflut des DoS-Angriffs verbundene Aktivität. Security Response hat eine benutzerspezifische Signatur für ManHunt 3.0 erstellt, die in Security Update 6 verfügbar ist und mit der dieser Angriff speziell als Blaster DoS-Anfrage erkannt wird.

Enterprise Security Manager
Symantec Security Response hat am 17. Juli 2003 für diese Sicherheitslücke eine Response Policy veröffentlicht.

Symantec Vulnerability Assessment
Symantec Security Response hat am 17. Juli 2003 eine Version veröffentlicht, mit der diese Sicherheitslücke entdeckt und gemeldet wird. Klicken Sie hier, um weitere Informationen zu erhalten.

Symantec NetRecon
Symantec NetRecon kann Computer erkennen, die für die Infektion W32.Blaster.Wurm anfällig sind, indem die Pufferüberlaufschwachstelle in der Microsoft DCOM RPC-Schnittstelle erkannt wird. Weitere Informationen erhalten Sie in der Sicherheitsaktualisierung SU6 für Symantec NetRecon.


Empfehlungen

Symantec Security Response empfiehlt allen Benutzern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:

  • Beenden und entfernen Sie alle nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht unbedingt erforderlich sind, z. B. FTP-Server, Telnet und Web-Server. Diese Dienste öffnen Angreifern Tür und Tor. Durch ihr Entfernen wird die Angriffsfläche für komplexe Bedrohungen reduziert, und Sie müssen weniger Programme mit Patch-Updates auf dem neuesten Stand halten.
  • Wenn eine komplexe Bedrohung einen oder mehrere Netzwerkdienste angreift, deaktivieren oder sperren Sie diese so lange, bis ein entsprechender Patch installiert wurde.
  • Halten Sie Ihre Patches immer auf dem neuesten Stand, insbesondere auf Computern, auf denen öffentliche Dienste installiert sind und auf die über die Firewall zugegriffen werden kann (z. B. auf HTTP-, FTP-, E-Mail- und DNS-Dienste). So sollte beispielsweise auf allen Windows-basierten Computern das aktuellste Service Pack installiert sein. Darüber hinaus sollten Sie alle in diesem Dokument, in vertrauenswürdigen Sicherheitsmitteilungen oder auf den Webseiten der Hersteller erwähnten Sicherheits-Updates installieren.
  • Erstellen Sie eine Kennwortrichtlinie und sorgen Sie für ihre Durchsetzung. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf Computern, deren Sicherheit nicht mehr intakt ist. Dadurch können Schäden verhindert oder begrenzt werden, wenn ein Computer angegriffen wurde.
  • Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails mit Dateianhängen, über die häufig Viren verbreitet werden (z. B. Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr), blockiert oder entfernt werden.
  • Isolieren Sie infizierte Computer schnellstmöglich, um weitere Schäden zu verhindern. Führen Sie eine forensische Analyse durch, und reparieren Sie die Computer mithilfe zuverlässiger Medien.
  • Schulen Sie Ihre Mitarbeiter, so dass sie keine Anhänge öffnen, die unaufgefordert eingesendet werden. Führen Sie außerdem keine aus dem Internet heruntergeladene Software aus, die zuvor nicht auf Viren geprüft wurde. Schon allein der Besuch einer infizierten Internet-Seite kann zu einer Infektion führen, wenn bestimmte Browser-Schwachstellen nicht behoben werden.

Dokument verfasst von: Douglas Knowles, Frederic Perr
Bis zu 20 € sparen mit einem zweijährigen Abonnement.
©1995 - 2009 Symantec Corporation
Wegweiser|
Rechtliche Hinweise|
Impressum|
Datenschutz|
Kontakt|
Weltweit|
Lizenzvereinbarungen