Update: Blaster alias Love-San legt Tempo vor

Einen Tag nach dem ersten Rundumschlag des Computerwurms ‘Blaster’ haben die Hersteller von Antivirensoftware und staatliche Stellen eine erste Schadenbilanz und Analyse vorgenommen. Unklar ist momentan, wie weit sich Blaster bisher verbreitet hat. Während das US-amerikanische Cert Coordination Center von bis zu 1,5 Millionen infizierter Domains spricht, geht Symantec von rund 260.000 betroffenen Rechnern aus. Die Differenz kommt durch die mehrfache Zählung dynamisch vergebener IP-Adressen zustande.
Es heißt zwar, Unternehmensnetzwerke seien “ziemlich hart getroffen”, wie Symantecs Technikvorstand Alfred Huger meint. Manche Firmen berichteten von hunderten PCs, die gleichzeitig heruntergefahren wurden. Dennoch sucht sich Blaster mit Vorliebe Rechner mit Windows-XP-Betriebssystem heraus. Ein eingebauter Zufallsmechanismus entscheidet bevorzugt XP gegenüber Win 2000 mit 5 zu 1. Dadurch sind Heimanwender deutlich stärker betroffen, denn in den Unternehmen überwiegt noch immer Windows 2000. Außerdem findet Blaster so die schlechter geschützten Rechner der Privatnutzer.

Allerdings stellt sich der Wurm durch den Zwangs-Reboot selbst ein Bein: Von einem heruntergefahrenen Rechner kann er sich nicht mehr weiterverbreiten. Nach Erkenntnissen der Antivirus-Fachleute tritt diese Routine nur dann in Kraft, wenn Blaster nicht das System vorfindet, für das er sich vor seiner Suche nach einem neuen ‘Wirt’ eigentlich entschieden hatte. Ist Blaster auf XP aus und wird auch bei einem ungepatchten Rechner fündig, kann sich die Malware dagegen in vollem Umfang einnisten und von dort aus weiterverbreiten.

Offenbar hatte der Autor der Malware ein Einsehen mit den Anwendern von Windows NT. Denn ihre Systeme bekommen von Microsoft seit kurzem keinen Support mehr spendiert. Dafür werden sie auch nicht von Blaster angegriffen – und sich dadurch eigentlich sicherer. Auch NT 4.0 Terminal Server Edition und Windows Server 2003 bleiben außen vor.

Außerdem sei im Verlauf der Nacht von Dienstag auf Mittwoch eine gebremste Verbreitungsgeschwindigkeit festzustellen gewesen, meint Johannes Ullrich vom amerikanischen Sans-Institute. Nach Erkenntnissen von Symantec werden die Win XP- oder 2000-Systeme im Schnitt über einen Zeitraum von 25 Minuten gescannt, was einer blitzartigen Verbreitung wie bei Slammer Anfang des Jahres ebenfalls entgegensteht. Insgesamt, so meinen die Beobachter inzwischen, sei der Wurm nicht besonders raffiniert geschrieben. Aber die Wiederkehr des Code-Red-Virus vor zwei Jahren habe ja eindrücklich gezeigt, so Huger, dass Viren und Würmer oftmals überarbeitet würden um später noch einmal zuschlagen zu können. Erfahrungsgemäß hängen dann immer noch genug verwundbare Rechner am Netz.

Allein die Menge an potenziellen PCs verleiht Blaster eine ganz neue Qualität. Während Slammer sich auf SQL-Server gestürzt hatte und damit schätzungsweise eine Viertelmillion Rechner bedroht waren, sind es jetzt weltweit zwischen 100 und 200 Millionen, rechnet David Perry von Symantec vor. Antivirensoftware sei noch dazu relativ machtlos, weil keine Verbreitung per Mail stattfindet. Immerhin können versierte Nutzer von entsprechenden Anwendungen an den Log-Files nachsehen, ob ihr Rechner infiziert wurde und möglicherweise gerade dabei ist, einer weiteren Verbreitung zu dienen.

Obwohl betroffene Unternehmen gegenüber ihren IT-Sicherheitsdienstleistern angeben, sie hätten keinen Totalausfall erlebt, sondern höchstens eine Beeinträchtigung der Bandbreite im Unternehmensnetz, sind die Auswirkungen schon jetzt bemerkenswert. Die KFZ-Zulassungsstellen im US-Bundesstaat Maryland mussten am Dienstag Mittag komplett schließen, um ihre Systeme auf Vordermann zu bringen. Die Stadtverwaltung von Philadelphia meldet ebenfalls einen Befall. An der Universität Stanford sollen 2500 Rechner befallen sein und das US-Ministerium für Heimatschutz räumte ein, dass mehrere Bundesbehörden mit Blaster zu kämpfen hätten. Seinem Code zufolge plant der Wurm von den infizierten Rechner aus am Samstag einen Überlastungsangriff (‘Denial-of-Service-Attacke’) auf die Webserver, auf denen ‘windowsupdate.com’ liegt.