Es ist ein Wurm im Umlauf, der zur Verbreitung die Ende Juli bekanntgewordene DCOM/RPC-Schwachstelle in Microsoft Windows verwendet. Der Wurm verbreitet sich über verwundbare Windows-2000- und Windows-XP-Systeme. Viele ISPs aktivierten Filter, die die Verbreitung begrenzen, die aber eventuell Nebenwirkungen aufweisen.


Betroffene Systeme
Von der DCOM/RPC-Schwachstelle sind betroffen:

Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Der Wurm nutzt Windows-2000- und Windows-XP-Systeme zur Verbreitung.

Abhängig davon, wie viele Systeme im eigenen Netz und weltweit befallen sind und welche Filter im Internet-Backbone aktiviert werden, kann es zu Netzstörungen kommen, die weitere Systeme beeinträchtigen.

Einfallstor
TCP-Port 135. Zur Weiterverbreitung ist Verkehr über UDP-Port 69 (TFTP, Port auf der Seite des Angreifers) und TCP-Port 4444 (beim Opfer) erforderlich.

Auswirkung
Das System beginnt nach weiteren Opfern zu Scannen und führt zu bestimmten Zeiten Denial of Service-Angriffe gegen windowsupdate.com durch.

Ein fehlgeschlagener Angriffsversuch auf ein prinzipiell verwundbares System führt häufig zu einem automatischen Neustart.

Zur Eindämmung des Wurmes eingeleitete Gegenmaßnahmen können die Verfügbarkeit von DCE RPC, TFTP und Diensten auf TCP-Port 4444 über das Internet beeinträchtigen. DCE-basierte Dienste (neben DCOM auch DFS) können dadurch in ihrer Verfügbarkeit eingeschränkt werden.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Seit etwa 2003-08-11 19:00 Uhr MESZ ist ein Wurm im Umlauf, der die Schwachstelle im DCOM/RPC-Service für Microsoft Windows ausnutzt (siehe [MS/Windows NT/2000/XP/2003] Kritische RPC-Schwachstelle). Der Wurm verwendet zwei Servicepack-unabhängige Exploits, jeweils für Windows 2000 und Windows XP. Der jeweilige Exploit wird zufällig ausgewählt. Die Übertragung des Wurmes nach erfolgreicher Kompromittierung erfolgt mit TFTP (UDP-Port 69) und TCP-Port 4444 (Zielport auf der Opferseite). Zur Eindämmung ist es also empfehlenswert, diese Ports zu filtern.

Symptome für einen Befall ist (neben dem unten erwähnten Portscan) das Vorhandensein einer Datei namens "msblast.exe" und ein neuer Eintrag unter SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit dem Namen "windows auto update". Aufgrund von Suchpfad-Problemen ist es allerdings systemabhängig, ob der Wurm nach einem Neustart des Systems wieder aktiviert wird.

Der Wurm sucht über einen Scan auf dem Port 135/TCP nach weiteren verwundbaren Systemen. Dabei wird etwa mit gleicher Wahrscheinlichkeit zwischen einer zufälligen Startadresse und einer Adresse im lokalen Netz gewählt. Ab der gewählten Adresse beginnt der Wurm sequentiell zu scannen. Theoretisch könnte dies ähnlich wie beim Slammer-Wurm zu einer Beeinträchtigung der Netzinfrastruktur führen, aber im Moment liegen noch keine Berichte über gravierende Probleme vor.

Eine Statistik über Scans auf TCP-Port 135 und die Zahl der Quellen zeigt, daß der Wurm sich vergleichsweise gut eindämmen läßt:


time | flows | sources
---------------------+-------+---------
2003-08-11 00:00:00 | 3357 | 7
2003-08-11 01:00:00 | 18130 | 8
2003-08-11 02:00:00 | 296 | 3
2003-08-11 03:00:00 | 176 | 1
2003-08-11 04:00:00 | 634 | 2
2003-08-11 05:00:00 | 459 | 3
2003-08-11 06:00:00 | 8484 | 7
2003-08-11 07:00:00 | 2588 | 9
2003-08-11 08:00:00 | 2761 | 7
2003-08-11 09:00:00 | 5688 | 7
2003-08-11 10:00:00 | 7154 | 11
2003-08-11 11:00:00 | 3008 | 47
2003-08-11 12:00:00 | 2509 | 11
2003-08-11 13:00:00 | 1556 | 4
2003-08-11 14:00:00 | 624 | 6
2003-08-11 15:00:00 | 2879 | 8
2003-08-11 16:00:00 | 3769 | 7
2003-08-11 17:00:00 | 4895 | 48
2003-08-11 18:00:00 | 4726 | 31
2003-08-11 19:00:00 | 5374 | 54
2003-08-11 20:00:00 | 14074 | 67
2003-08-11 21:00:00 | 9679 | 43
2003-08-11 22:00:00 | 6585 | 48
2003-08-11 23:00:00 | 10420 | 47
2003-08-12 00:00:00 | 11530 | 52
2003-08-12 01:00:00 | 11873 | 52
2003-08-12 02:00:00 | 7571 | 35
2003-08-12 03:00:00 | 9667 | 43
2003-08-12 04:00:00 | 7453 | 42
2003-08-12 05:00:00 | 10220 | 36


Der Rückgang der Zahlen ist vermutlich auf Filtermaßnahmen bei großeb ISPSs zurückzuführen. Diese Filter können DCE-basierte Dienste wie DFS beeinträchtigen. (An der Universität Stuttgart waren aufgrund präventiver Maßnahmen keine zusätzlichen Filter erforderlich.)

Gegenmaßnahmen


Um die Verbreitung dieses Wurmes im eigenen Netz einzudämmen, kann UDP-Port 69 (TFTP) und TCP-Port 4444 gefiltert werden, selbst wenn eine generelle Sperre für 135/TCP nicht möglich ist.
Da die Verbreitung über die Festplatte erfolgt, wird wahrscheinlich Antiviren-Software nach einem Signatur-Update die Verbreitung unterbinden können.
Trend Micro stellt ein Programm zum Entfernen des Wurms bereit und beschreibt die manuelle Entfernung.
Nach erfolgter Eindämmung können die Patches für die DCOM/RPC-Schwachstelle eingespielt werden.


quelle: http://cert.uni-stuttgart.de/ticker/article.php?mid=1132

weitere links: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

Hi

First Aid http://securityresponse.symantec.com/avcenter/FixBlast.exe

dann auf der windows homepage den patch saugen und system neu starten fertig

Die ausschlaggebende datei ist wblaster32.exe oder irgendwas mit *Blaster.exe


MFG Buffy

Wollt Ihr den Wurm manuell entfernen:

1. Internetverbindung trennen (Connection und physikalisch)
2. %WinDir%\System(32)\msblast.exe löschen (geg. im abges. Modus
3. In RegEdit \HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Run den Schlüssel "Windows Auto Update"="msblast.exe" löschen
4. den DCOM Dienst beenden (Meißt: dcomcfng.exe->Standardoptionen->DCOM aktivieren deaktivieren)
5. Connectione wieder herstellen
6. Die neuesten Updates von M$ installieren
7. Rechner neustarten
8. Fertig

gute seite hierzu mit links zu tools, die den Wurm ebenfalls automatisch entfernen:

www.bsi.de/av/vb/blaster.htm

gibt ein Tool von Symantec (Fixblast siehe oben) und noch ein anderes, weiß gerad ned wie des heißt, auch der Link zum Pacth ist hier

Gerade reinbekommen:

Liebe Kolleginnen und Kollegen,

aus gegebenem Anlass weisen wir Sie auf Folgendes hin:

Wie im Advisory des CERT/CC (am 12.08.2003 ueber win-sec-ssc verschickt)
beschrieben beinhaltet der derzeit immer noch stark verbreitete Wurm
W32/Blaster einen Denial-of-Service Client, welcher beginnend mit dem
16.08. (Samstag) einen SYN-Flood-Angriff durch Senden von TCP-Paketen
mit Destination-Port 80 auf Systeme der Firma Microsoft durchfuehrt.

Beginn des Vorgangs ist der Zeitpunkt des Umspringens der lokalen
Systemuhr eines infizierten Systems auf 16. August, 00:00 Uhr. Die
Schadsoftware fuehrt zu diesem Zeitpunkt einen DNS-lookup auf das
System windowsupdate.com aus und beginnt, an die so ermittelte
IP-Adresse Pakete zu schicken.

Microsoft trifft derzeit Vorbereitungen, diese Angriffe zu
kompensieren. Das Ausmass des angerichteten Schadens ist derzeit nicht
abschaetzbar.

Bin ich ja mal gespannt. ;)

Hallo Chris
Wenn ich das aktuelle Patch für den msblaster- Virus drauf hab kann dann auch noch was passieren?

Hey JimmyBlau!


Nein, dann ist die Sicherheitslücke bei dir geschlossen und eine Infektion ausgeschlossen!

Zu diesem Virus empfehle ich auch diese Seite: http://computer.t-online.de/comp/sich/vire/ar/CP/ar-blaster-vorhanden.html, dort ist schön erklärt wie man den Virus wieder entfernt wenn man ihn bereits auf dem Rechner hat.

Grüße
Jonas

was geht in den Hirnen von solchen leuten vor die so ne scheisse programmieren?

Mich hatte es erwischt, obwohl ich das Sicherheitsupdate vom M$ installiert hatte. Warscheinlich hatte sich der Virus vor dem einspielen des Sicherheitsupdate eingeschlichen.

Blinky