Symantec Norge
global sites
produkter
handle
service og support
partnere
security response
nedlastinger
om Symantec
søk
tilbakemeldinger


© 1995-2008 Symantec Corporation.
All rights reserved.
Juridisk informasjon
Personvernerklæring


Pressesenter spacer

Sikkerhetsinformasjon fra Symantec: W32.Blaster.Worm

Presse kontakter

12. august, 2003, kl. 10:00 -

Symantec Security Response har identifisert en ny Level 3 orm på frifot – W32.Blaster.Worm – som utnytter sårbarheten Microsoft DCOM RPC Interface Buffer Overrun. På grunn av det høye antallet brukere som er utsatt for dette sikkerhetshullet har Symantec hevet ThreatCon*-nivået til Level 3. Systemer som rammes omfatter Microsoft IIS, Windows 2000, Windows XP og Windows NT.

W32.Blaster.Worm bruker sårbarheten DCOM MSRPC til å kompromittere et eksternt system. Den forsøker å koble seg til TCP-port 4444 etter angrepet og bruker deretter tftp for å hente og installere en kopi av seg selv på det infiserte systemet.

Når W32.Blaster.Worm eksekverer, vil den gjøre følgende:

1. Legge til verdien: ”windows auto update”=”msblast.exe” til registernøkkelen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run slik at ormen kjøres når du starter Windows.

2. Sende data på TCP-port 135 som kan utnytte DCOM RPC-sårbarheten slik at følgende handlinger kan finne sted på den utsatte maskinen: ormen lastes ned og kjøres ved hjelp av programmet tftp.

Ved å analysere ormen, har Symantec kunnet slå fast at den inneholder kode beregnet på å starte et Denial-of-service angrep mot windowsupdate.com i et spesifikt tidsrom. Ormen vil starte et Denial-of-service angrep etter 15. august og ut året, hvert år.

Ved hjelp av Symantecs DeepSight sårbarhetssystem har Symantec fastslått mer enn 57 000 systemer som er infisert og som nå sender ut forespørsler på Port 135. Antallet har økt eksponentielt de siste 24 timene; den 10. august var gjennomsnittet 1 000 – 2 000. Symantecs Managed Security Services melder at W32.Blaster.Worm sprer seg med en fart på om lag 20% av Slammer-ormen, ut fra antall infiserte tilfeller (unike IP-adresser) per time som, passerer gjennom våre kunders sikkerhetsenheter.

Microsoft publiserte en oppdatering for denne sårbarheten 16. juli. Symantec Security Response oppfordrer på det sterkeste brukerne til å oppdatere systemene sine. Oppdateringen er tilgjengelig på http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

Mer informasjon om denne ormen, hvordan den kan fjernes og hvordan søke etter infiserte filer finnes hos Symantec Security Response på http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

*ThreatCon er et mål på global trusseleksponering. For definisjoner, vennligst besøk https://tms.symantec.com/threatCon_Def.asp