Update: Blaster alias Love-San legt Tempo vor

Einen Tag nach dem ersten Rundumschlag des Computerwurms ‘Blaster’ haben die Hersteller von Antivirensoftware und staatliche Stellen eine erste Schadenbilanz und Analyse vorgenommen. Unklar ist momentan, wie weit sich Blaster bisher verbreitet hat. Während das US-amerikanische Cert Coordination Center von bis zu 1,5 Millionen infizierter Domains spricht, geht Symantec von rund 260.000 betroffenen Rechnern aus. Die Differenz kommt durch die mehrfache Zählung dynamisch vergebener IP-Adressen zustande.
Es heißt zwar, Unternehmensnetzwerke seien “ziemlich hart getroffen”, wie Symantecs Technikvorstand Alfred Huger meint. Manche Firmen berichteten von hunderten PCs, die gleichzeitig heruntergefahren wurden. Dennoch sucht sich Blaster mit Vorliebe Rechner mit Windows-XP-Betriebssystem heraus. Ein eingebauter Zufallsmechanismus entscheidet bevorzugt XP gegenüber Win 2000 mit 5 zu 1. Dadurch sind Heimanwender deutlich stärker betroffen, denn in den Unternehmen überwiegt noch immer Windows 2000. Außerdem findet Blaster so die schlechter geschützten Rechner der Privatnutzer.

Allerdings stellt sich der Wurm durch den Zwangs-Reboot selbst ein Bein: Von einem heruntergefahrenen Rechner kann er sich nicht mehr weiterverbreiten. Nach Erkenntnissen der Antivirus-Fachleute tritt diese Routine nur dann in Kraft, wenn Blaster nicht das System vorfindet, für das er sich vor seiner Suche nach einem neuen ‘Wirt’ eigentlich entschieden hatte. Ist Blaster auf XP aus und wird auch bei einem ungepatchten Rechner fündig, kann sich die Malware dagegen in vollem Umfang einnisten und von dort aus weiterverbreiten.

Offenbar hatte der Autor der Malware ein Einsehen mit den Anwendern von Windows NT. Denn ihre Systeme bekommen von Microsoft seit kurzem keinen Support mehr spendiert. Dafür werden sie auch nicht von Blaster angegriffen – und sich dadurch eigentlich sicherer. Auch NT 4.0 Terminal Server Edition und Windows Server 2003 bleiben außen vor.

Außerdem sei im Verlauf der Nacht von Dienstag auf Mittwoch eine gebremste Verbreitungsgeschwindigkeit festzustellen gewesen, meint Johannes Ullrich vom amerikanischen Sans-Institute. Nach Erkenntnissen von Symantec werden die Win XP- oder 2000-Systeme im Schnitt über einen Zeitraum von 25 Minuten gescannt, was einer blitzartigen Verbreitung wie bei Slammer Anfang des Jahres ebenfalls entgegensteht. Insgesamt, so meinen die Beobachter inzwischen, sei der Wurm nicht besonders raffiniert geschrieben. Aber die Wiederkehr des Code-Red-Virus vor zwei Jahren habe ja eindrücklich gezeigt, so Huger, dass Viren und Würmer oftmals überarbeitet würden um später noch einmal zuschlagen zu können. Erfahrungsgemäß hängen dann immer noch genug verwundbare Rechner am Netz.

Allein die Menge an potenziellen PCs verleiht Blaster eine ganz neue Qualität. Während Slammer sich auf SQL-Server gestürzt hatte und damit schätzungsweise eine Viertelmillion Rechner bedroht waren, sind es jetzt weltweit zwischen 100 und 200 Millionen, rechnet David Perry von Symantec vor. Antivirensoftware sei noch dazu relativ machtlos, weil keine Verbreitung per Mail stattfindet. Immerhin können versierte Nutzer von entsprechenden Anwendungen an den Log-Files nachsehen, ob ihr Rechner infiziert wurde und möglicherweise gerade dabei ist, einer weiteren Verbreitung zu dienen.

Obwohl betroffene Unternehmen gegenüber ihren IT-Sicherheitsdienstleistern angeben, sie hätten keinen Totalausfall erlebt, sondern höchstens eine Beeinträchtigung der Bandbreite im Unternehmensnetz, sind die Auswirkungen schon jetzt bemerkenswert. Die KFZ-Zulassungsstellen im US-Bundesstaat Maryland mussten am Dienstag Mittag komplett schließen, um ihre Systeme auf Vordermann zu bringen. Die Stadtverwaltung von Philadelphia meldet ebenfalls einen Befall. An der Universität Stanford sollen 2500 Rechner befallen sein und das US-Ministerium für Heimatschutz räumte ein, dass mehrere Bundesbehörden mit Blaster zu kämpfen hätten. Seinem Code zufolge plant der Wurm von den infizierten Rechner aus am Samstag einen Überlastungsangriff (‘Denial-of-Service-Attacke’) auf die Webserver, auf denen ‘windowsupdate.com’ liegt.

Silicon-Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

4 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

4 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

6 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

7 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

1 Woche ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

1 Woche ago