Jetzt geht’s los: Blaster-Wurm frisst sich durch Windows-Rechner

EnterpriseSicherheit

Seit Wochen wartet die IT-Gemeinde auf diese Malware. Trotz schneller Patches von Microsoft hat der raffinierte Wurm offenbar leichtes Spiel. Für Samstag ist die Bumerang-Attacke geplant.

Seit Montag Abend 21 Uhr mitteleuropäischer Zeit ist einer der womöglich gravierendsten Internetwürmer auf der Suche nach verwundbaren Computersystemen. Für den Anwender wird ein Befall zunächst dadurch erkennbar, dass der PC ohne Grund bootet und damit nicht-gesicherte Daten verloren gehen. Größere Schäden werden aber zunächst nicht gemeldet. Die Hersteller von Antivirensoftware sind sich mit offiziellen Stellen und Universitäten in den USA und der Bundesrepublik darüber einig, dass der Wurm ‘Blaster’ – auch ‘Lovsan’ oder ‘Luvsan’ genannt – als besonders gefährlich einzuschätzen ist. Symantec stufte Blaster auf seiner fünfteiligen Skala gerade auf “4” hoch.
Der Wurm nutzt dabei eine Sicherheitslücke im Windows-Dienst ‘Remote Procedure Call’ aus. Über einen Buffer Overflow kann der betroffene Rechner in die Gewalt des angreifenden Codes gebracht werden. Die Durchführung der Attacke scheint durchaus sehr ausgefeilt zu sein. Denn der Wurm startet zunächst einen TFTP-Server (Trivial FTP), um über Port 135 nach weiteren Systemen zu suchen, die angegriffen werden könnten. TFTP ist eine Abwandlung des ‘File Transport Protocol’ und verfügt in dieser abgespeckten Version über keine Verzeichnis- oder Passwort-Unterstützung. Über TCP-Port 4444 wird dann versucht, eine Wurm-Kopie auf dem Zielrechner abzulegen. Fehlender Code wird anschließend von dort aus nachgeladen.

Nach ersten Erkenntnissen der Spezialisten bei Sophos, Symantec, Panda Software, Kaspersky Labs und Network Associates bereitet Blaster jedes befallene System darauf vor, am kommenden Samstag, den 16. August, eine massive Denial-of-Service-Attacke gegen die Microsoft-Domain ‘windowsupdate.com’ zu reiten. Das Zeitfenster dafür ist durch den Code bis zum 31. Dezember 2003 geöffnet. Denn UDP-Port 69 wird durch den Wurm geöffnet, wodurch der Rechner auf eingehende Verbindungsanfragen von außen wartet. Außerdem werden auf dem befallenen Rechner 20 TCP-Ports zwischen 2500 bis 2522 geöffnet, um Verbindungen mit anderen Systemen aufzubauen. Über einen Eintrag in der Registry stellt Blaster sicher, dass er bei einem Reboot des Systems ebenfalls wieder aufgerufen wird.

Es sollte also nicht schwer sein, festzustellen, ob ein Rechner befallen ist oder nicht. Obwohl Patches von Microsoft bereitstehen, detaillierte Anwendungen zum Schließen einzelner Ports herausgegeben wurden und auch die Antiviren-Experten wie Symantec bereits Removal-Tools zur Beseitigung des Wurm-Codes bereitgestellt haben – trotz alledem rechnen die Beobachter mit einer schnellen und umfassenden Verbreitung von Blaster. Dabei nimmt der Wurm sehr viel Bandbreite in den Netzen in Anspruch. “Der Wurm verbreitet sich außerordentlich schnell”, meint auch Johannes Ulrich vom US-Beobachtungsdienst D-Shield.

“Es ist jetzt noch viel zu früh, um etwas über die möglichen Auswirkungen und eine globale Beeinträchtigung des Internets zu sagen”, meint Vincent Gulotto, Vicepresident von Network Associates. “Es kommt einfach darauf an, wie weit sich Blaster verbreiten kann.”

Administratoren in den USA gaben im Diskussionsforum der ‘North American Network Operators’ Group’ bereits Einschätzungen ab, wonach 10 Prozent des gesamten Traffics derzeit von Blaster verursacht wird. Immerhin verbreite sich Blaster langsamer als ‘Slammer’ Anfang des Jahres, der beim Befall von Microsoft-SQL-Servern fast die gesamte Bandbreite aufsaugte und so zahlreiche Dienste wie Bankautomaten und Flugabfertigungssysteme außer Gefecht setzte.

Die immerwährende Frage nach der Motivation von Virenautoren beantwortet der Urheber zumindest mit einem Satz, den er im Programmcode versteckt hat. “Billy Gates why do you make this possible? Stop making money and fix your software!” ist die Botschaft, die auf jedem infizierten System zu finden ist. Deshalb hat der Autor seinem Ungetier auch den Namen “MSBlast” mit auf den Weg gegeben.

Vorerst bleiben die Ratschläge die selben: Microsoft-Patch installieren, die Ports 69, 135 and 4444 dicht machen und die verwendete Antiviren-Software auf den neusten Stand bringen. Und abwarten was am Samstag passieren wird.