Msblast.exe: Wurm fährt Windows herunter

Seit der Nacht zum Dienstag breitet sich auch in Deutschland ein Wurm rasant aus, der die jüngste Sicherheitslücke der Windows-Betriebssysteme ausnutzt. Abhilfe ist leicht möglich, auch erste Tools dazu existieren.

Der Schädling wird von Symantec "W32.Blaster" genannt, McAfee bezeichnet ihn als "W32.Lovsan". Symantec bietet hier ein Tool zum Entfernen des Wurms an, der entsprechende Patch von Microsoft ist an dieser Stelle verfügbar.

Die Lücke ist bereits seit dem 16. Juli 2003 dokumentiert. Es handelt sich - wieder einmal - um einen Pufferüberlauf, diesmal im DCOM-Dienst von Windows, über den der Wurm Remote Procedure Calls (RPC) ausführt, wir berichteten. Betroffen sind alle 32-bittigen Windows-Version ab NT 4.0

Auf infizierten Systemen startet der Wurm zunächst einen TFTP-Server, über den er andere Rechner auf Port 135 zu kontaktieren versucht. Trifft der Blaster einen ungepatchten Rechner, schleust er seinen Code über die DCOM-Lücke ein. Der Zielrechner führt ihn aus, und lädt vom Angreifer über TFTP die Datei "msblast.exe" ins Windows-Verzeichnis nach und führt sie aus. An diesem File sind infizierte Rechner leicht zu erkennen, daneben sind auf solchen Systemen auch die UDP-Ports 69 und zwanzig weitere Ports zwischen 2500 und 2522 geöffnet. Der Wurm wählt dazu einen zufälligen Bereich von zwanzig aufeinander folgenden Ports, der Zweck dieser Aktion ist noch unklar.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt inzwischen vor dem Wurm. Dort findet sich auch der Hinweis, daß die Datei msblast.exe UPX-gepackt ist und folgenden Text enthält:

I just want to say LOVE YOU SAN!!

billy gates why do you make this possible ? Stop making money and fix your software!!

Das BSI betont besonders, dass auch Rechner von Privatanwendern vom MS-Blaster befallen werden. Das stimmt - vor allem in der deutschen Gaming-Szene scheint sich der Wurm derzeit zu verbreiten. Dort wird auch davon berichtet, etwa bei mousesports, dass der Wurm den Rechner nach 60 Sekunden zwangsweise neu startet. Grund könnte ein Fehler im Code des Wurms sein, der den RPC-Dienst zum Absturz bringt.

Das BSI empfiehlt neben einer Entfernung der Datei msblast.exe zusätzlich folgende Ports zu sperren - das dürfte auch den Internet-Traffic schonen:

Dass sich der Blaster noch so rasant verbreiten kann, zeigt wieder einmal, wie wichtig es ist, kritische Patches sofort aufzuspielen - immerhin liegt Microsofts erste Warnung fast vier Wochen zurück.

Informationen zu Sicherheitsproblemen finden Sie täglich aktualisiert in unserem Security Report. Dort besteht auch die Möglichkeit, den tecCHANNEL-Security-Newsletter zu abonnieren, der Sie über Probleme und deren Lösung auf dem Laufenden hält. (Nico Ernst/uba)