Warnung vor Computerwurm

Ich schreibe hier grundsätzlich nur solche Warnungen vor Schädlingen (Viren, Würmern, ...), die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt sind und deren Gefährlichkeit als hoch eingestuft ist.

Meldung vom 12.08.2003 09:30
Alle Schotten dicht -- W32.Blaster greift an

Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory

auf heise Security.

Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp <host a> get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.

Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüberhinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.

Symantec hat bereits ein Removal-Tool

bereitgestellt, um den Wurm von befallenen System zu entfernen.

Es wird dringend empfohlen, die Patches

zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden.

Zur Vorbeugung gegen den Wurm siehe auch:

* Schutz vor RPC/DCOM-Wurm W32.Blaster

Zum Vergrößern anklicken....

Unter Windows NT4 führt der Wurmbefall dazu, dass der PC sich allein herunterfährt mit einer Meldung sinngemäß
"erzwunger Neustart. Quelle NT-Autorität".

Für Hunde und Menschen ist der Wurm nicht schädlch, aber ein namhafter Fußballverein war davon betroffen (zum Glück haben sie gleich bei mir angerufen).

Danke an Microsoft, deren Betriebsssteme immer wieder offene Tore zum Einfall von Schädlingen haben.

Ich haaaasse diesen Virus Ich habe heute den ganzen Tag damit verbracht von PC zu PC zu gehen und ihn zu entfernen... Und das bei dieser Hitze, tststs

Grüässli

Hier die Warnmeldung vom Bundesamt

######################################################################

CERT-Bund -- Warn- und Informationsdienst

######################################################################


Informationen zu Programmen mit Schadfunktionen

VIRINFO 03/006 vom 12.08.2003



Virus-Warnung aufgrund grosser Verbreitung!


Name: W32.Blaster.Worm
Alias: W32/Lovsan.worm [McAfee]
WORM_MSBLAST.A [Trend]
Art: Wurm
Groesse des Anhangs: 6.176 Bytes (UPX gepackt)
Betriebssystem / Software: Windows NT/2000/XP
Art der Verbreitung: Netzwerk
Verbreitungsgrad: hoch
Risiko bei Aktivierung: mittel
Schadensfunktion: unkontrollierter Rechnerabsturz
Lauschen auf Port 135
Entfernung: aktuelle Definitionen
(ab 11.08.2003)
Spezielle Entfernung: Tool
Bekannt seit: 11.08.2003

Beschreibung:
W32.Blaster.Worm ist ein Wurm, der sich ueber das Netzwerk verbreitet.
Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Dabei handelt
es sich um einen nicht geprueften Puffer im "Windows Distributed
Component Object Model (DCOM) Remote Procedure Call (RPC) Interface".
Durch Ueberschreiben der Puffergrenze kann beliebiger Programmcode aus-
gefuehrt werden. Diese Schwachstelle befindet sich in nicht-gepatchten
Windows NT/2000/XP-Systemen.
Informationen zu dieser Schwaeche finden Sie im Microsoft Security
Bulletin MS03-026
< >

W32.Blaster.Worm sucht ueber TCP Port 135 einen angreifbaren Rechner.
Dieser Rechner wird dazu gebracht, das Programm des Wurms (MSBLAST.EXE)
per FTP in das Verzeichnis C:\Windows\System32 oder C:\WINNT\System32
zu laden.
Diese Datei laedt der Rechner vom bereits infizierten System. Dazu
simuliert der Wurm auf dem infizierten System einen TFTP-Server.

Nach dem Download wird die Kopie des Wurms auf dem neuen Rechner
ausgefuehrt. Es beginnt ein neuer Infektionszyklus.

Der Wurm selbst ist UPX-gepackt.
Er enthaelt einen Text, der jedoch nicht angezeigt wird:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix
your software!!

Zum automatischen Start erzeugt W32.Blaster.Worm den Registrier-
schluessel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

mit dem Wert

"windows auto update" = MSBLAST.EXE

Bei der Suche nach angreifbaren Rechnern werden zunaechst die lokalen
Subnetze durchsucht. Danach werden zufaellige IP-Adressen zur Suche
verwendet.

Weiterhin fuehrt der W32.Blaster.Worm eine sog. DDoS-Attacke
(DDoS = distributed denial of service) gegen einen Microsoft-Server
durch (windowsupdate.com).
Dabei wird dieser Server mit so vielen Anfragen ueberflutet, dass er nicht mehr antworten kann. Diese Attacke wird in den Monaten Januar bis August vom 16. bis zum Ende des Monats gemacht, in den Monaten September bis Dezember wird die Attacke fortlaufend (taeglich) durchgefuehrt.

Hinweis:
Da sich der Wurm nicht ueber E-Mail-Nachrichten versendet, kann er an Mail-Gateways nicht abgefangen werden.
Administratoren sollten (wenn moeglich) auf der Firewall die Ports
135 TCP, 69 UDP und 4444 TCP schliessen.
Aktuelle Virendefinitionen erkennen die Datei MSBLAST.EXE waehrend des Downloads.

Entfernungs-Programm
Von Symantec wird ein spezielles Entfernungs-Programm fuer
W32.Blaster.Worm zum kostenlosen Download bereitgestellt.


Ein Update der Viren-Schutzsoftware ist erforderlich.
Viren-Signaturen ab dem 12.08.2003 koennen diesen Wurm erkennen.
Informieren Sie sich dazu beim Hersteller des Viren-Schutzprogramms.


Generelle Hinweise:

Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswuerdigen Absendern pruefen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgaengen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausfuehrbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten koennen (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen
Absender geschickt und nicht von einem Virus verbreitet wird.


Eine aktuelle Version der Virenbeschreibung ist unter
< > abrufbar.

Fragen richten Sie bitte an <mailto:[email protected]>.


Mit freundlichen Gruessen
Ihr Team CERT-Bund


- -----------------------------------------------------------------
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund

Telefon: +49-228-9582-444 / FAX: +49-228-9582-427
<mailto:[email protected]> / < >
- -----------------------------------------------------------------


========================================================================
Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den
Seiten des CERT-Bund < >

HINWEIS:

Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden oder Konsequenzen, die durch die direkte oder indirekte Nutzung der Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.

Unsere Massnahmen auf gut Deutsch *g*:

1) Den Virus mit dem Remove Tool von Symentec entfernen

2) Den neusten Windows Patch installieren

3) Das Antiviren Programm updaten

So sollte der Virus definitiv entfernt sein..

Grüässli

wie immer bin ich ob solcher meldungen hochamuesiert... irgendwas mach ich richtig...
markgraf.deimos ~ > uptime
6:26pm up 172 days, 6:31, 3 users, load average: 0.00, 0.00, 0.00

mein rechner laeuft seit 172 tagen andere rebooten ihren 172mal am tag (oder lassen rebooten )

hallo andreas,

kannst du mir sagen, ob es auch reicht, wenn ich bei meiner firewall port 69 und 135 zugemacht habe?

läuft der virus nur auf 2000 und XP oder auch z.b. auf 98??

*fragen über fragen*

Original geschrieben von Sonic

kannst du mir sagen, ob es auch reicht, wenn ich bei meiner firewall port 69 und 135 zugemacht habe?

Zum Vergrößern anklicken....

das schliessen von port 4444 uebernimmt der wurm fuer dich
aber irgendwie is deine herangehensweise falsch. erstmal sperrt man ALLES und erlaubt dann nur was man wirklich braucht.

läuft der virus nur auf 2000 und XP oder auch z.b. auf 98??

*fragen über fragen*

Zum Vergrößern anklicken....

wie geschrieben nur w2k und xp, nt4 is auch anfaellig. 98 unterstuetzt zum glueck noch keine remote updates und alles vorher erst recht nicht.

Original geschrieben von berny




wie geschrieben nur w2k und xp, nt4 is auch anfaellig. 98 unterstuetzt zum glueck noch keine remote updates und alles vorher erst recht nicht.

Zum Vergrößern anklicken....

*juhuu*
ist also doch nicht so schlecht mit anno tobak zu arbeiten!

Hallo,

diese Meldung kam auch gerade im TV (ZDF und RTL) in den Nachrichten.

Aber es wurde auch gesagt, dass man hinter einem Router keine Angst davor haben braucht.

Ich sitz hinter nem Router .. und wenn nicht: Ich hab das Update schon installiert bevor der Wurm rauskam.

Auch wir sitzen hinter einem Router, haben aber denn noch hunderte infizierte Maschinen..

Aber mit dem Updat fährst du ziemlich sicher!

habe mich mit dem mist die halbe nacht geärgert,aber nun klappt es wieder...firewall installiert das ding gelöscht.gut ist ...

Original geschrieben von prisca
Auch wir sitzen hinter einem Router, haben aber denn noch hunderte infizierte Maschinen..

Zum Vergrößern anklicken....

... was labert dann der Typ im Fernsehn ????

... ******* Medien .. wir werden doch immer nur vera*scht

Der nächste Wurm ist unterwegs!

Der nächste Wurm ist unterwegs:

Zweiter RPC-Wurm ist unterwegs (WORM_RPCSDBOT.A)
(12. August 2003 22:23)

TrendMicro hat heute einen Virenpattern rausgebracht, 606 gegen den "Neuen". Wobei sie scheinbar ähnliche Mechanismen verwenden.

Link zur Beschreibung von TrendMicro:

RPCSDBOT.A

Zum Vergrößern anklicken....

Wer nur mit dem Removal-Tool den einen Wurm entfernt hat ist natürlich weiter anfällig für diesen neuen RPCSDBOT.A und für den nächsten und für den übernächsten für den überübernächsten ...

Hier gibt es eine Firewall, die für private User kostenlos ist (Firmen zahlen 39 US$), leider nur auf englisch:


Und hier nochmal die URL für die Patches von Microsoft:

Dort dann das Betrübsystem auswählen, dann den Patch runterladen und ausführen.

hilfe, ich hab den wurm.
hab den tool runtergeladen, das teil hat ihn auch gefunden, weggehen tut er trotzdem nicht,
allerdings , wenn ich unter eingabeaufforderung shutdown -a eingebe kann ich da herunterfahren stoppen.
naja ich werds mal weiter versuchen ansonsten mach iich halt meinen rechner platt

Melle1212:
Welchen Wurm? Den Blast?

Hast du mal versucht ihn manuell zu löschen?

Grüässli

Original geschrieben von prisca
Melle1212:
Welchen Wurm? Den Blast?

Hast du mal versucht ihn manuell zu löschen?

Grüässli

Zum Vergrößern anklicken....

jou, genau den.
aber mitlerweile erfolgreich zerstört und meinen rechner vor einem neuen angriff geschützt, hoff ich doch
dank remove tool
anti vir aktualisierung
microsoft patch
und neuer firewall
also jetzt müße dad doch gehen.
bis jetzt ne stunde online ohne weiterer attacke

..da hats einige schwer erwischt. Die Firewall in unserer Fa. hat bis Mittag 13:00 1.450.000 Drops (Abweisungen) von Scanversuchen auf den Port 135 verzeichnet. Große Firmen wie Immer besser manuell sind auch heftig betroffen.

Gruß
DeadDog1

p.s.: fixblast.exe von Symantec und anschliessend den patch, dann ist Ruhe.

Sodele
wurm zerstört mit symantec auf t-online start seite hoffe ich jedenfalls
xp firewall aktiviert
patch nach einigen versuchen heruntergeladen
schau mer mal ob nun ruhe iss
sonst schmeiss ich die kiste auf den müll
liebe grüsse von einem misslaunigen und fix und fertigen alten bär .
bis denne

noch ein paar nachtraege zum wuermchen:

1. die xp-firewall kann er zwar nicht umgehen, aber ne modifizierte version, die das schafft soll wohl im anmarsch sein. also zusaetzliche software noetig.

2. das patch von winzigweich behebt zwar den bug, der dazu fuehrt, dass der wurm den rechner runterfaehrt, die luecke ueber die der wurm reinkommt ist aber noch immer offen, d.h. ohne firewall kriegt man den wurm immer noch aber der rechner laeuft weiter.

Und so sieht das aus, wenn man sich frisch eingewählt hat und die Firewall aktiv ist:

Someone from p3E9B9D3D.dip.t-dialin.net [62.155.157.61], port 1643 wants to connect to port 135 owned by 'Generic Host Process for Win32 Services' on your computer.
Someone from 81.89.11.50, port 2612 wants to connect to port 135...
Someone from p3E9D5378.dip.t-dialin.net [62.157.83.120], port 2010 wants to connect to port 135...
Someone from p3EE3753B.dip.t-dialin.net [62.227.117.59], port 3419 wants to connect to port 135...

Zum Vergrößern anklicken....

Und von der Sorte versuchen gleich 9 Leute meinen Rechner zu verwurmen

Natürlich nicht die Leute, aber deren Windows. Und die Leute wundern sich alle, warum ihr Windows so langsam läuft...

Und ich bin gerade mal 5 Minuten online ...