Neuer MSblast.D löscht Vorgänger lädt Patches

Antivirenspezialist Trend Micro warnt vor einer neuen Variante des Blaster-Wurms, der wie seine Vorgänger die RPC-DCOM-Lücke in Windows nutzt. MSblast.D löscht beim Befall kurioserweise seinen Vorgänger MSblast.A und lädt die Patches von Microsoft nach.

Trend Micro bezeichnet MSblast.D trotz seiner potenziell säubernden Wirkung als Schädling, weil er die befallenen Systeme scannt und Dateien herunterlädt und ausführt. Der Wurm selbst kommt als DLLHOST.EXE auf den Rechner und damit unter dem Namen einer tatsächlich existenten System-Datei. Laut Trend Micro unterscheidet sich die Datei in der Größe - die Original DLLHOST.EXE ist laut Antivirenhersteller 6 KByte groß. Der Wurm öffnet Port 707, um sein Werk zu beginnen. MSBlast.D führt außer dem Systemscan und dem Download der Patches von Microsoft gegen die RPC-Lücke keine Schadensroutine mit sich. Der Wurm lösche sich selbst, wenn das Datum das Jahr 2004 erreicht oder es auf diesen Wert vorgestellt wird. Nachdem der Wurm die Patches heruntergeladen hat, startet er zudem das System neu, berichtet Trend Micro.

Die aktuellen Signaturen der Antivirenhersteller dürften auch die neue Variante erkennen, die sich im Umlauf befindet. Trend Micro bietet zudem einen kostenlosen System-Cleaner zum Download an, der den Wurm ebenfalls finden soll.

Details zum MSblast-Wurm lesen Sie in einer früheren Meldung. Den Patch von Microsoft gegen die RPC-Lücke finden Sie hier. (uba)