AVERT™ (Anti Virus Emergency Response Team), das Virenforschungslabor von Network Associates (NYSE: NET), stuft den gestern Abend entdeckten Internet-Wurm W32/Lovsan.worm als äußerst gefährlich ein. Der Wurm verbreitet sich über eine Windows-Sicherheitslücke im RPC-Protokoll etlicher Windows-Betriebssysteme, die bereits Mitte Juli 2003 von Microsoft bekannt gegeben wurde. Über zufällig ausgewählte IP-Adressen auf dem TCP-Port 135 sucht sich der Wurm im Internet die anfälligen Betriebssysteme selbst aus. Trifft er dabei auf ein System ohne installierten Patch, wird die Remote-Shell auf TCP-Port 4444 geöffnet, der Wurm-Code “msblast.exe“ über TFTP auf den Rechner geladen und anschließend in das Windows-Verzeichnis System32 kopiert. Danach ist der Wurm am UDP-Port 69 präsent und versendet Code von dort aus auf Anfrage weiter.
Einmal gestartet, kreiert der Wurm einen der folgenden Registry-Einträge:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Symptome im Überblick:
- Präsenz von ungewöhnlichen TFTP-Dateien
- Präsenz des Files msblast.exe im Windows-System32-Ordner
- Fehlermeldung über Ausfall des RPC-Dienstes mit Absturz des Systems bzw. Rebooting
- Öffnen von 20 verschiedenen TCP-Ports zum „Lauschen“ per Random-Auswahl (betroffen sind 2500-2520, 2501-2521, 2502-2522)
Weiterhin startet der Wurm zu einem späteren Zeitpunkt eine Denial-of-Service-Attacke auf die Website www.windowsupdate.com, um zu verhindern, dass Anwender entsprechende Patches zur Abwehr auf das Betriebssystem aufspielen.
Genaue Details finden Sie unter: http://vil.nai.com/...
Beseitigung des Wurms Proaktiv wird dieser Wurm durch die DAT4283-Signaturen vom 6. August als „Exploit-DcomRpc“ Trojaner erkannt. Network Associates bietet zur eindeutigen Erkennung und Beseitigung des Wurm bereits ein neues Update der Anti-Viren Signaturen (DAT4284) an. Für Sniffer-Kunden steht der Download eines Sniffer-Filters zur Aufdeckung von W32/Lovsan.worm-Traffic zur Verfügung (Sniffer Distributed 4.3 and Sniffer Portable 4.7.5)
Einmal gestartet, kreiert der Wurm einen der folgenden Registry-Einträge:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Symptome im Überblick:
- Präsenz von ungewöhnlichen TFTP-Dateien
- Präsenz des Files msblast.exe im Windows-System32-Ordner
- Fehlermeldung über Ausfall des RPC-Dienstes mit Absturz des Systems bzw. Rebooting
- Öffnen von 20 verschiedenen TCP-Ports zum „Lauschen“ per Random-Auswahl (betroffen sind 2500-2520, 2501-2521, 2502-2522)
Weiterhin startet der Wurm zu einem späteren Zeitpunkt eine Denial-of-Service-Attacke auf die Website www.windowsupdate.com, um zu verhindern, dass Anwender entsprechende Patches zur Abwehr auf das Betriebssystem aufspielen.
Genaue Details finden Sie unter: http://vil.nai.com/...
Beseitigung des Wurms Proaktiv wird dieser Wurm durch die DAT4283-Signaturen vom 6. August als „Exploit-DcomRpc“ Trojaner erkannt. Network Associates bietet zur eindeutigen Erkennung und Beseitigung des Wurm bereits ein neues Update der Anti-Viren Signaturen (DAT4284) an. Für Sniffer-Kunden steht der Download eines Sniffer-Filters zur Aufdeckung von W32/Lovsan.worm-Traffic zur Verfügung (Sniffer Distributed 4.3 and Sniffer Portable 4.7.5)
