Web

Virenjäger und Provider stemmen sich gegen MSBlast

13.08.2003

MÜNCHEN (COMPUTERWOCHE) - Der Wurm "MSBlast" (auch als "Lovesan" bekannt) breitet sich rasch aus: Nach Angaben von Symantec sollen bereits über 127 000 Rechner befallen sein. "Innerhalb weniger Stunden hat es der Wurm unter die Top 3 der weltweit gefährlichsten Schädlinge geschafft", so der Antiviren-Anbieter Kaspersky.

Gefährdet sind Anwender von Windows NT, 2000, XP und 2003. Im Gegensatz zu Würmern, die sich per E-Mail verbreiten, agiert MSBlast ohne Zutun des Anwenders. Um die Verbreitung einzudämmen, haben Internet-Service-Provider den vom Wurm verwendeten Port 135 in ihrer Netzinfrastruktur gesperrt. Experten raten Firmen jedoch davon ab, diesen Port innerhalb ihrer Unternehmensnetze zu sperren. Der Grund: Windows-Anwendungen nutzen ebenfalls Port 135, so dass es zu Störungen kommen kann.

Wie der Sicherheitsanbieter F-Secure mitteilt, erzwingt MSBlast auf mit Windows XP ausgestatteten PCs einen Neustart. Davon abgesehen richtet der Wurm offenbar keine weiteren Schäden auf den Rechnern an. Fachleute warnen jedoch bereits vor Varianten des Wurms, die weit mehr anrichten könnten. F-Secure und andere Firmen informieren auf ihren Websites über Gegenmaßnahmen (siehe unten).

Ziel des Virenautors ist es offenbar, die Microsoft-Site Windows Update am 16. August durch einen Denial-of-Service-Angriff lahmzulegen. Über diese Site beziehen Windows-Anwender Updates. Sicherheitsspezialisten gehen jedoch davon aus, dass der Softwarekonzern in der Lage sein wird, die Attacke abzuwehren.

Wie so oft nutzt auch dieser Wurm bereits bekannte Schwachstellen aus: Bereits Mitte Juli hatte Microsoft über ein Sicherheitsloch in der DCOM-Schnittstelle gewarnt und kurze Zeit später entsprechende Patches zur Verfügung gestellt. Dies hat offensichtlich den Virenschreiber zu MSBlast animiert. Opfer zu finden ist nicht schwer, denn oftmals spielen Anwender Patches nur zögerlich ein. Unter http://www.microsoft.com/security/incident/blast.asp informiert Microsoft über Maßnahmen gegen den Wurm.

Hinweise von Antiviren-Spezialisten zu MSBlast:

http://www.norman.com/virus_info/w32_blaster_a.shtml?menulang=de http://www.symantec.de/techsupp/ssi/virus_alerts/de/de_w32_blaster_worm.html http://www.sophos.de/virusinfo/analyses/w32blastera.html http://de.mcafee.com/virusInfo/default.asp?id=lovsan http://www.f-secure.com/v-descs/msblast.shtml

http://www.viruslist.com/eng/viruslist.html?id=61577