Blaster läuft ins Leere

EnterpriseSicherheit

Der Wurm war nicht besonders raffiniert gestrickt. Microsoft bietet trotzdem alle Kräfte zur Abwehr auf. Ist das nur die Ruhe von dem zweiten Sturm?

Die Denial-of-Service-Attacke des Blaster-Wurms auf die Update-Website von Microsoft ist am Wochenende ausgefallen. Denn zum einen konnte sich der Schädling nur von rund 50.000 der weltweit befallenen 423.000 Rechnern aus mit ‘windowsupdate.com’ beschäftigen. Zum anderen hatte Microsoft diese Redirect-Adresse schlichtweg vom Netz genommen. Die Updates liegen schon seit jeher unter der Sub-Domain ‘windowsupdate.microsoft.com’.
Microsoft hatte aber außerdem zusätzliche Ressourcen eingekauft: Die Update-Site wurde vom Web-Dienstleister und Load-Balancer Akamai gespiegelt. Offensiv war auch Microsofts Öffentlichkeitsarbeit. Mit Zeitungsanzeigen versuchte der Konzern, seine Kunden über Blaster und den RPC-Patch zu informieren. Aufgrund der breiten Aufmerksamkeit für den Wurm merken Marketingspezialisten inzwischen aber auch an, dass die negativen Microsoft-Meldungen das Image des Softwarekonzerns in Mitleidenschaft ziehen.

Schon bei seiner Verbreitung hatte Blaster einige Konstruktionsfehler gezeigt, weil beispielsweise heruntergefahrene Systeme nicht nach zusätzlichen Zielen suchen können. Sicherheitsspezialisten wie etwa Symantec warnen wie auch Microsoft selbst davor, Windows-Systeme ungepatcht zu lassen. Eine überarbeitete Version von Blaster könne jederzeit auftauchen. Vincent Weafer, bei Symantec verantwortlich für ‘Security Response’, rechnet nach Angaben eines Sprechers damit, dass mutierte Versionen des Wurm über die kommenden zwei Jahre hinweg auftauchen werden.

Aufgelöst hat sich weitgehend das Rätsel um die unterschiedlichen Angaben zur Zahl der infizierten Rechner. Während Symantec von 423.000 befallenen Systemen ausgeht, hatte der Softwarehersteller und Internet-Dienstleister Verisign die Zahl von 1,4 Millionen genannt. Eine “vorübergehende Anomalie” der eigenen ‘Atlas’-Software habe zu dieser Annahme geführt, musste Verisign einräumen. Das ‘Advanced Transaction Lookup and Signaling System’ hatte eine um 33 bis 50 Prozent höhere Menge von DNS-Abfragen festgestellt – 3,7 Milliarden mehr als an einem durchschnittlichen Tag. Besonders unerfreulich ist die Panne für Verisign, weil Atlas in künftigen Verzeichnisdiensten wie ‘Enum’ eingesetzt werden soll.

Eine Frage bleibt weiterhin ungeklärt: Wer oder was soll SAN sein, demgegenüber der Blaster-Autor innerhalb des Codes seine Liebe erklärte? – Wohl doch kein ‘Storage Area Network’? Nachdem sich die Berichterstatter weltweit auf die drolligere Bezeichnung ‘Lovsan’ statt ‘Blaster’ geeinigt haben, wäre der Urheber zumindest diese Erklärung schuldig.