Jetzt geht’s los: Blaster-Wurm frisst sich durch Windows-Rechner

Seit Montag Abend 21 Uhr mitteleuropäischer Zeit ist einer der womöglich gravierendsten Internetwürmer auf der Suche nach verwundbaren Computersystemen. Für den Anwender wird ein Befall zunächst dadurch erkennbar, dass der PC ohne Grund bootet und damit nicht-gesicherte Daten verloren gehen. Größere Schäden werden aber zunächst nicht gemeldet. Die Hersteller von Antivirensoftware sind sich mit offiziellen Stellen und Universitäten in den USA und der Bundesrepublik darüber einig, dass der Wurm ‘Blaster’ – auch ‘Lovsan’ oder ‘Luvsan’ genannt – als besonders gefährlich einzuschätzen ist. Symantec stufte Blaster auf seiner fünfteiligen Skala gerade auf “4” hoch.
Der Wurm nutzt dabei eine Sicherheitslücke im Windows-Dienst ‘Remote Procedure Call’ aus. Über einen Buffer Overflow kann der betroffene Rechner in die Gewalt des angreifenden Codes gebracht werden. Die Durchführung der Attacke scheint durchaus sehr ausgefeilt zu sein. Denn der Wurm startet zunächst einen TFTP-Server (Trivial FTP), um über Port 135 nach weiteren Systemen zu suchen, die angegriffen werden könnten. TFTP ist eine Abwandlung des ‘File Transport Protocol’ und verfügt in dieser abgespeckten Version über keine Verzeichnis- oder Passwort-Unterstützung. Über TCP-Port 4444 wird dann versucht, eine Wurm-Kopie auf dem Zielrechner abzulegen. Fehlender Code wird anschließend von dort aus nachgeladen.

Nach ersten Erkenntnissen der Spezialisten bei Sophos, Symantec, Panda Software, Kaspersky Labs und Network Associates bereitet Blaster jedes befallene System darauf vor, am kommenden Samstag, den 16. August, eine massive Denial-of-Service-Attacke gegen die Microsoft-Domain ‘windowsupdate.com’ zu reiten. Das Zeitfenster dafür ist durch den Code bis zum 31. Dezember 2003 geöffnet. Denn UDP-Port 69 wird durch den Wurm geöffnet, wodurch der Rechner auf eingehende Verbindungsanfragen von außen wartet. Außerdem werden auf dem befallenen Rechner 20 TCP-Ports zwischen 2500 bis 2522 geöffnet, um Verbindungen mit anderen Systemen aufzubauen. Über einen Eintrag in der Registry stellt Blaster sicher, dass er bei einem Reboot des Systems ebenfalls wieder aufgerufen wird.

Es sollte also nicht schwer sein, festzustellen, ob ein Rechner befallen ist oder nicht. Obwohl Patches von Microsoft bereitstehen, detaillierte Anwendungen zum Schließen einzelner Ports herausgegeben wurden und auch die Antiviren-Experten wie Symantec bereits Removal-Tools zur Beseitigung des Wurm-Codes bereitgestellt haben – trotz alledem rechnen die Beobachter mit einer schnellen und umfassenden Verbreitung von Blaster. Dabei nimmt der Wurm sehr viel Bandbreite in den Netzen in Anspruch. “Der Wurm verbreitet sich außerordentlich schnell”, meint auch Johannes Ulrich vom US-Beobachtungsdienst D-Shield.

“Es ist jetzt noch viel zu früh, um etwas über die möglichen Auswirkungen und eine globale Beeinträchtigung des Internets zu sagen”, meint Vincent Gulotto, Vicepresident von Network Associates. “Es kommt einfach darauf an, wie weit sich Blaster verbreiten kann.”

Administratoren in den USA gaben im Diskussionsforum der ‘North American Network Operators’ Group’ bereits Einschätzungen ab, wonach 10 Prozent des gesamten Traffics derzeit von Blaster verursacht wird. Immerhin verbreite sich Blaster langsamer als ‘Slammer’ Anfang des Jahres, der beim Befall von Microsoft-SQL-Servern fast die gesamte Bandbreite aufsaugte und so zahlreiche Dienste wie Bankautomaten und Flugabfertigungssysteme außer Gefecht setzte.

Die immerwährende Frage nach der Motivation von Virenautoren beantwortet der Urheber zumindest mit einem Satz, den er im Programmcode versteckt hat. “Billy Gates why do you make this possible? Stop making money and fix your software!” ist die Botschaft, die auf jedem infizierten System zu finden ist. Deshalb hat der Autor seinem Ungetier auch den Namen “MSBlast” mit auf den Weg gegeben.

Vorerst bleiben die Ratschläge die selben: Microsoft-Patch installieren, die Ports 69, 135 and 4444 dicht machen und die verwendete Antiviren-Software auf den neusten Stand bringen. Und abwarten was am Samstag passieren wird.

Silicon-Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

7 Stunden ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

1 Tag ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

2 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

2 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

2 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

3 Tagen ago