Web

 

UPDATE: Erste Varianten des MSBlast-Wurms sind im Umlauf

14.08.2003

MÜNCHEN (COMPUTERWOCHE) - Der Wurm "MSBlast", auch als "Blaster" oder "Lovesan" bekannt, verbreitet sich zwar nicht mehr so stark, doch schon haben Anti-Viren-Experten Varianten B und C des Schädlings ausgemacht. Eine Variante nutzt den Dateinamen "penis32.exe" und gleicht dem Original. Der zweite Ableger, "teekids.exe" enthält dagegen weitere Komponenten, darunter ein Backdoor-Programm. Solche Routinen gestatten es Hackern, sich auf befallene Rechner einzuloggen. Nach Angaben des Anti-Viren-Anbieters Trend Micro enthält die MSBlast-Mutation das Programm "Lithium", ein Backdoor-Modul, das vor etwa einem Jahr entdeckt wurde. Auch für die nun entdeckten MSBlast-Varianten haben die Anti-Viren-Spezialisten Gegenmaßnahmen entwickelt.

Laut Gernot Hacker, Technical-Support-Manager bei Sophos, lädt sich der Wurm nach erfolgreichem Angriff der DCOM-Schwachstelle von einer Webseite die eigentlichen Programmdaten herunter. Im Falle von dem bei Sophos als W32/Blaster-B klassifizierten Derivat des Blaster-Virus ist hier außer dem Wurm selbst auch noch ein Backdoor-Trojaner mit enthalten. Bislang lägen allerdings noch keinerlei Meldungen vor, dass die Backdoor-Komponente auch zur Ausführung gebracht worden wäre, so Hacker. Das bedeute, der Wurm selbst verbreitet sich im Netzwerk, trägt jedoch den Trojaner nicht direkt weiter, erklärt der Virenexperte. Da bisher keinerlei Meldungen über eine selbstständige Verbreitung dieser Komponente vorlägen, werde dieser Teil des Blasters nicht als separate Komponente erkannt und gemeldet, weil die Erkennung bereits durch die Identifikation von Blaster selbst geschieht.

Nach Angaben des russischen Anti-Viren-Tool-Anbieters Kaspersky Labs sind rund 300.000 Rechner weltweit mit MSBlast befallen. Laut Konkurrent Sophos ist Deutschland weniger betroffen als die USA, was an der Zeitverschiebung liegt. Inzwischen hat sich auch die Aufregung etwas gelegt. So verzeichnet das Support-Center von Sophos weit weniger Anrufe besorgter Kunden als gestern. (fn)