Newsticker
- freenet startet eigenes Daten-Roaming-Angebot
- O2 Telefónica und Samsung starten Open-RAN-Netz
- freenet: 60 GB Allnet-Flat für 14,99 Euro im Vodafone-Netz
- O2 senkt die Grundgebühr für Glasfaser-Anschlüsse
- Telekom baut Mobilfunk an 965 Standorten aus
- AVM startet neues FRITZ! Labor für FRITZ!Box 7590 AX und 7590
- Ay Yildiz: Bis zu 30 GB Datenvolumen in der Türkei-Aktion
- winSIM: Allnet-Flatrate mit 15 GB für 9,99 Euro an
- Telekom startet Glasfaser-Ausbau in Jagsthausen
- smartmobil.de Allnet-Flatrate mit 24 GB für 9,99 Euro an
Neuer Internet-Wurm breitet sich schnell aus
Windows-Nutzer sollen schnell reagieren
12. August 2003
Die Hersteller von Antivirus-Software warnen vor einem neuen Internet-Wurm, der sich derzeit schnell über das Netz der Netze ausbreitet. Betroffen sind Nutzer der Betriebssysteme Windows 2000, NT und XP, sowie Windows 2003 Server. Der Wurm nutzt eine Sicherheitslücke in diesen Systemen aus, die bereits seit Mitte Juli 2003 bekannt ist und mit einem entsprechneden Patch von Microsoft geschlossen werden kann. «Windows 98»-Nutzer sind nicht betroffen.
Die Antiviren-Hersteller gaben dem neuen Schädling den Namen W32.Lovsan oder W32.Blaster. Der Wurm durchsucht alle mit dem Internet verbundene Systeme über TCP-Port 135. Wird ein Windows-PC mit der Sicherheitslücke im Remote-Procedure-Call-Protokoll (RPC) gefunden, wird auf diesem PC eine Shell auf dem TCP-Port 4444 geöffnet. Der Virus überträgt die Datei msblast.exe in das Verzeichnis %WinDir%System32 und startet diese. Nun kann der neu infizierte Computer weitere System über das Internet infizieren.
Der Wurm soll am 16. August 2003 eine Denial-of-Service-Attacke (DoS) gegen den Server windowsupdate.com starten. Dabei wird der Server mit so vielen Anfragen überflutet, dass er nicht mehr antworten kann. Daher ist es dringend empfohlen, den Virus vorher unschädlich zu machen und die Sicherheitslücke vor dem 16.08. mit dem Patch zu schließen, da der Server mit dem Patch dann nicht verfügbar sein kann.
Zu erkennen ist der Virus an rund 20 zufällig geöffneten TCP-Ports, über die Verbindungen zu weiteren Systemem aufgebaut werden und dem offenen UDP-Port 69, auf dem der von Virus gestartete TFTP-Server auf ankommende Verbindungen wartet. Außerdem sind zwei Einträgen in Windows-Registry (HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "windows auto update" = msblast.exe und HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill) und auch die Datei msblast.exe im Windows-Verzeichnis vorhanden. Bei Systemen mit fehlenden RPC kann Windows entsprechende Fehlermeldungen ausgeben und von alleine herunterfahren.
Die meisten Antiviren-Hersteller bieten bereits entsprechende Tools, um den Virus unschädlich zu machen, etwa das Removal-Tool von Symantec oder das Stinger-Tool von NAI/McAfee. Da der Virus sich nicht per E-Mail verbreitet, kann auch eine richtig konfigurierte Firewall, die vom Virus benutzte Ports blockiert, als Schutz eingesetzt werden.
Die Antiviren-Hersteller gaben dem neuen Schädling den Namen W32.Lovsan oder W32.Blaster. Der Wurm durchsucht alle mit dem Internet verbundene Systeme über TCP-Port 135. Wird ein Windows-PC mit der Sicherheitslücke im Remote-Procedure-Call-Protokoll (RPC) gefunden, wird auf diesem PC eine Shell auf dem TCP-Port 4444 geöffnet. Der Virus überträgt die Datei msblast.exe in das Verzeichnis %WinDir%System32 und startet diese. Nun kann der neu infizierte Computer weitere System über das Internet infizieren.
Der Wurm soll am 16. August 2003 eine Denial-of-Service-Attacke (DoS) gegen den Server windowsupdate.com starten. Dabei wird der Server mit so vielen Anfragen überflutet, dass er nicht mehr antworten kann. Daher ist es dringend empfohlen, den Virus vorher unschädlich zu machen und die Sicherheitslücke vor dem 16.08. mit dem Patch zu schließen, da der Server mit dem Patch dann nicht verfügbar sein kann.
Zu erkennen ist der Virus an rund 20 zufällig geöffneten TCP-Ports, über die Verbindungen zu weiteren Systemem aufgebaut werden und dem offenen UDP-Port 69, auf dem der von Virus gestartete TFTP-Server auf ankommende Verbindungen wartet. Außerdem sind zwei Einträgen in Windows-Registry (HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "windows auto update" = msblast.exe und HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill) und auch die Datei msblast.exe im Windows-Verzeichnis vorhanden. Bei Systemen mit fehlenden RPC kann Windows entsprechende Fehlermeldungen ausgeben und von alleine herunterfahren.
Die meisten Antiviren-Hersteller bieten bereits entsprechende Tools, um den Virus unschädlich zu machen, etwa das Removal-Tool von Symantec oder das Stinger-Tool von NAI/McAfee. Da der Virus sich nicht per E-Mail verbreitet, kann auch eine richtig konfigurierte Firewall, die vom Virus benutzte Ports blockiert, als Schutz eingesetzt werden.
Hinweis: Wir haben in diesem Artikel Partner-Links (Affiliate-Links) verwendet, die Nutzer auf Websites Dritter führen. Erfolgt über diese Links eine Bestellung, erhält tarif4you.de unter Umständen eine Provision. Für den Besteller entstehen keine Mehrkosten. Sie können diese Produkte/Dienste auch direkt beim jeweiligen Anbieter oder woanders kaufen. Die hier integrierten Werbelinks sind nur ein Vorschlag und stellen weitere Informationen zur Verfügung. Die Vergütung trägt dazu bei, dass wir unseren Service für Sie kostenlos anbieten können. Partnerprogramme haben keinerlei Einfluss auf unsere redaktionelle Berichterstattung oder Platzierungen in Tarifrechnern.
Original-URL des Artikels: https://www.tarif4you.de/news/n10502.html