Hier ein akutes Problem, dass schon diverse Freunde von mir sowie einige unserer Kunden erwischt hat:
Wurm Blaster rast durchs Internet
Seit vergangener Nacht verbreitet sich ein neuer Wurm namens "Blaster" oder "Lovsan" explosionsartig im Web. Nachdem verschiedene Antiviren-Software-Hersteller den Schädling als äußerst gefährlich einstuften, warnt nun auch das Bundesamt für Sicherheit in der Informationstechnik vor dem sich rasant ausbreitenden Internet-Wurm. Experten zufolge befiel der Wurm am Montag bereits tausende von PCs in den USA. Auch in Deutschland gab es bereits gestern Abend die ersten Fälle. Symptom für den erfolgreichen Angriff ist ein Fenster, das mitteilt das System müsste heruntergefahren werden, da der Dienst "Remoteprozeduraufruf" unerwartet beendet wurde.
Zum Download - W32.Blaster.Worm Removal Tool 1.0.0
Eine Firewall schützt
Da sich der Wurm nicht über eMail-Nachrichten versendet, kann er an eMail-Gateways nicht abgefangen werden. Lediglich eine Firewall kann hier helfen. Alternativ hilft ein Patch, der das Sicherheitsloch abriegelt.
Firewalls für den PC - Schutz vor Internet-Angriffen
Unbedingt Patch installieren
Betroffen von der Sicherheitslücke sind ausschließlich Nutzer der Windows-Versionen NT 4.0, 2000 und XP. Um sich vor einem derartigen Wurm-Angriff zu schützen, sollten Anwender den Patch gegen das RPC-Sicherheitsloch schleunigst auf ihren Systemen einspielen.
Zum Download - Windows XP Security Patch
Suche nach nicht gesicherten Rechnern im WWW
Auf befallenenen PCs startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme auf Port 135 an. Findet er einen Computer ohne installierten Patch, öffnet er eine Remote-Shell auf TCP-Port 4444, lädt den Wurm-Code Msblast.exe über TFTP auf den Rechner und kopiert diesen in das Windows-Systemverseichnis. Auf einem infizierten PC lauscht der Wurm fortan am UDP-Port 69 und versendet den Wurm-Code von dort auf Anfrage weiter, um sich so weiter zu verbreiten.
Denial-of-Service-Attacke steht bevor
Der Schädling sorgt dafür, dass er bei jedem Rechner-Neustart geladen wird, indem er einen entsprechenden Eintrag in der Registry vornimmt. Bedingt durch die zufällig ausgewählten Daten, die der Wurm an andere Rechner sendet, können Systeme so auch gezielt zum Absturz geführt werden. Ab dem 16. August 2003 startet der Wurm außerdem eine Denial-of-Service (DoS)-Attacke auf die Website
www.windowsupdate.com, was verhindern soll, dass sich Anwender entsprechende Patches auf den Rechner laden können. Die DoS-Attacke läuft dann ununterbrochen bis Ende des Jahres.
Der Wurm-Code enthält einen Text, der sich an Bill Gates von Microsoft richtet:
I just want to say LOVE YOU SAN!!
billy gates why do you
make this possible ?
Stop making money and fix your software!!
Dieser Text wird jedoch vom Wurm nicht angezeigt, sondern verbirgt sich lediglich im Programmcode.
Zugegebenermaßen OFF-Topic, aber ausnahmsweise mal erlaubt, denke ich.