Web

 

VORSICHT: Bösartiger neuer Windows-Wurm unterwegs

12.08.2003

MÜNCHEN (COMPUTERWOCHE) - Derzeit verbreitet sich im Netz rapide eine neuer Wurm, der unter der Bezeichnung "MSBlast" - alternativ auch "W32.Blaster" oder "W32/LuvSan" - geführt wird. Nach Einschätzung von Symantecs Senior Director of Engineering Alfred Huger könnte der Schädling ähnlich folgenreich werden wie "Code Red", der vor zwei Jahren etliche Server befallen hatte. MSBlast nutzt den jüngsten größeren Fehler in Windows NT 4, 2000, XP sowie Server 2003, bei dem sich die Kommunikation zwischen den RPC- und DCOM-Handlern über einen Buffer Overflow angreifen lässt. Ein Patch dagegen ist bereits seit 21. Juli erhältlich, auch über die Funktion "Windows Update".

Genau die Site www.windowsupdate.com soll der neue Wurm ab dem 16. August per Denial-of-Service-Angriff (DoS) lahm legen. Er installiert dazu den Server "TFTP" (Trivial File Transfer Protocol), lädt über diesen den eigentlichen Schad-Code herunter und verankert sich über die Registrierdatenbank im System. Durch Portscans erzeugt er erheblichen Traffic auf Port 135. Aufgrund nicht gerade effektiver Programmierung bringt er außerdem offenbar ebenso viele angegriffene Rechner zum Absturz wie er infiziert.

Die großen Anbieter von Antivirensoftware stellen bereits angepasste Definitionen bereit oder arbeiten daran. Alle Anwender, die den oben erwähnten Microsoft-Patch noch nicht eingespielt haben, sollten dies unabhängig davon schnellstens nachholen. (tc)