Neue Versionen des W32.Lovsan-Wurms aufgetaucht

Wenige Tage, nach dem der Internet-Wurm Lovsan aufgetaucht ist, warnen Experten vor neuen Versionen der Malware. Die technisch gesehen neue Lovesan-Modifikationen unterscheiden sich in nichts vom Original. Die Änderungen betreffen zunächst nur den Namen der Wirtsdatei, zum Beispiel teekids.exe anstatt msblast.exe, die Packungstechnologie sowie die Text-Zeilen im Programm-Code, welche Beleidigungen von Microsoft und Antiviren-Anbietern enthalten, so Antiviren-Spezialisten von Kaspersky Labs.

Nutzer könenn sich vor neuen Versionen mit bisherigen Mitteln schützen: Der Patch von Microsoft soll die Sicherheitslücke stopfen, die der Wurm zur Infizierung ausnutzt. So gut wie alle Antiviren-Hersteller bieten bereits Hilfe gegen den neuen Schädling, auch in den neuen seiner Versionen.

Inzwischen weist CERT/CC darauf hin, dass neben Windows NT/2000/XP und Windows 2003 Server beliebige andere Betriebssystem-Plattformen ebenfalls vom Wurm W32.Lovsan/W32.Blaster über Port 135 angegriffen werden können. Dazu muss allerdings das plattform-spezifische Distributed Computing Environment (DCE) installiert sein. Diese ermöglicht es verschiedenen Systemen, untereinander zu kommunizieren, und verwendet dazu auch RPCs über Port 135. Eine Schwachstelle in der Implementierung einiger Hersteller ermöglicht eine Denial-of-Service-Attacke gegen den DCE-Dienst. Da der Wurm nicht erkennen kann, welche Plattform er attackiert, werden alle Systeme mit offenem Port 135 angegriffen. In der Folge kann der DCE-Dienst zum Absturz gebracht werden, der nicht mehr auf Anfragen von Clients antwortet. IBM hat diese Schwachstelle seine DCE-Implementierung unter AIX, Solaris und Windows bestätigt, ebenfalls Entegrity für seine DCE-Software unter Linux und Tru64. Beide Hersteller bieten haben Patches sowie Anweisungen zum Beseitigen der Sicherheitslücke an.

Es wird weiterhin dringend empfohlen, alle notwendigen Patches aufzuspielen und die Antiviren-Software auf dem aktuellen Stand zu halten.