W32.Blaster.B.Worm

Bei Ausführung geht W32.Blaster.Worm folgendermaßen vor:

1. Er erzeugt eine Mutex mit dem Namen "BILLY." Ist diese Mutex vorhanden, so wird der Wurm ausgeführt.
   
   
2. Fügt den Wert
   
   "windows auto update"="penis32.exe"
   
   dem folgenden Registrierungsschlüssel hinzu:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   Dadurch wird der Wurm ausgeführt, sobald Sie Windows starten.
   
   
3. Er generiert eine IP-Adresse und versucht, den Computer mit dieser Adresse zu infizieren. Die IP-Adresse wird anhand des folgenden Algorithmus generiert:
   
   • In 40 % der Fälle wird die IP-Adresse nach dem Schema A.B.C.0 generiert, wobei A und B den ersten beiden Teilen der IP-Adresse des infizierten Computers entsprechen.
     
     C wird mit dem dritten Teil der IP-Adresse des infizierten Systems berechnet. In 40 % der Fälle prüft der Wurm, ob C größer als 20 ist. Ist dies der Fall, so wird ein willkürlicher Wert, der kleiner als 20 ist, von C abgezogen. Nach Berechnung der IP-Adresse versucht der Wurm, einen Computer mit der IP-Adresse A.B.C.0 zu finden und anzugreifen.
     
     Der Wurm zählt dann von 0 jeweils um 1 aufwärts und versucht dabei, andere Computer auf Grundlage der neuen IP-Adresse zu finden und auszunutzen, bis der Wert 254 erreicht ist.
     
     
   • In 60 % der Fälle wird die IP-Adresse völlig zufällig generiert.
     
     
4. Er sendet Daten auf dem TCP-Port 135, durch die die DCOM RPC-Sicherheitslücke ausgenutzt werden kann. Der Wurm sendet eine von zwei Arten von Daten: Entweder Daten zum Ausnutzen von Windows XP oder zum Ausnutzen von Windows 2000. In 80 % der Fälle werden Windows XP-Daten gesendet, und in 20 % der Fälle werden Windows 2000-Daten gesendet.
   
   Hinweise:
   • Das lokale Teilnetz wird mit Anfragen für den Port 135 überlastet.
   • Aufgrund der zufälligen Art und Weise, auf die der Wurm die Angriffsdaten konstruiert, können Computerabstürze verursacht werden, wenn der Wurm falsche Daten sendet.
   • Obwohl W32.Blaster.Worm sich nicht auf Windows NT oder Windows 2003 Server ausbreiten kann, können Computer ohne Patch mit diesen Betriebssystemen aufgrund der Angriffsversuche des Wurms abstürzen. Wenn der Wurm jedoch auf Computern mit diesen Betriebssystemen manuell eingebracht und gestartet wird, wird er ausgeführt und kann sich ausbreiten.
     
     
5. Er erstellt mithilfe von Cmd.exe einen versteckten, entfernten Shell-Prozess, der den TCP-Port 4444 überwacht. Dies ermöglicht einem Angreifer, auf dem infizierten, entfernten System Befehle einzugeben.
   
   
6. Er überwacht den UDP-Port 69. Wenn der Wurm eine Anfrage von einem Computer erhält, mit dem er über die DCOM RPC-Sicherheitslücke eine Verbindung aufbauen konnte, sendet er die Programmdatei msblast.exe an diesen Computer und gibt den Befehl, den Wurm auszuführen.
   
   
7. Wenn der aktuell eingestellte Monat ein Monat nach August ist, oder wenn das aktuelle Datum nach dem 15. liegt, führt der Wurm einen Denial of Service-(DoS-)Angriff auf Windows Update aus. Der Wurm aktiviert den DoS-Angriff am 16. dieses Monats und fährt hiermit bis zum Ende des Jahres fort.
   

Beta-Definitionen mit einer Folgenummer von 24289 oder höher erkennen diese Bedrohung.

Empfehlungen

Symantec Security Response empfiehlt allen Benutzern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:

• Beenden und entfernen Sie alle nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht unbedingt erforderlich sind, z. B. FTP-Server, Telnet und Web-Server. Diese Dienste öffnen Angreifern Tür und Tor. Durch ihr Entfernen wird die Angriffsfläche für komplexe Bedrohungen reduziert, und Sie müssen weniger Programme mit Patch-Updates auf dem neuesten Stand halten.
• Wenn eine komplexe Bedrohung einen oder mehrere Netzwerkdienste angreift, deaktivieren oder sperren Sie diese so lange, bis ein entsprechender Patch installiert wurde.
• Halten Sie Ihre Patches immer auf dem neuesten Stand, insbesondere auf Computern, auf denen öffentliche Dienste installiert sind und auf die über die Firewall zugegriffen werden kann (z. B. auf HTTP-, FTP-, E-Mail- und DNS-Dienste). So sollte beispielsweise auf allen Windows-basierten Computern das aktuellste Service Pack installiert sein. Darüber hinaus sollten Sie alle in diesem Dokument, in vertrauenswürdigen Sicherheitsmitteilungen oder auf den Webseiten der Hersteller erwähnten Sicherheits-Updates installieren.
• Erstellen Sie eine Kennwortrichtlinie und sorgen Sie für ihre Durchsetzung. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf Computern, deren Sicherheit nicht mehr intakt ist. Dadurch können Schäden verhindert oder begrenzt werden, wenn ein Computer angegriffen wurde.
• Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails mit Dateianhängen, über die häufig Viren verbreitet werden (z. B. Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr), blockiert oder entfernt werden.
• Isolieren Sie infizierte Computer schnellstmöglich, um weitere Schäden zu verhindern. Führen Sie eine forensische Analyse durch, und reparieren Sie die Computer mithilfe zuverlässiger Medien.
• Schulen Sie Ihre Mitarbeiter, so dass sie keine Anhänge öffnen, die unaufgefordert eingesendet werden. Führen Sie außerdem keine aus dem Internet heruntergeladene Software aus, die zuvor nicht auf Viren geprüft wurde. Schon allein der Besuch einer infizierten Internet-Seite kann zu einer Infektion führen, wenn bestimmte Browser-Schwachstellen nicht behoben werden.

Zusammenfassung