12.08.2003, 13:21
|
#1 (permalink)
|
Extrem Tweaker
Registriert seit: 24.07.2003
Beiträge: 1.951
| der Wurm msblast, eine Zusammenfassung ist von GIGA, sind alle relevanten Links dabei Zitat:
Also, viele dürften es schon mitbekommen haben, es geistert wieder mal ein Wurm im Internet rum bei dem plötzlich eine Meldung erscheint dass der PC in 60 sec. heruntergefahren wird. Dabei handelt es sich um einen Exploit der die Schwachstelle im RPC-Dienst ausnützt. Um diese Lücke zu schliessen ist ein Patch zu installieren, der bei M$ schon seit längerem erhältlich ist: http://www.microsoft.com/germany/ms/...inms03-026.htm
Verbreitung:
Der Wurm scannt zunächst das gesamte Subnetz nach offenen Ports 135 und geht dann dazu über zufällig ausgewählte Class B Subnetze zu scannen (255.255.0.0). Wenn ein offener Port 135 gefunden wird, wird der genannte Exploit dazu verwendet Zugang zu erlangen und eine Remote Shell auf dem betroffenen System zu starten. War diese Aktion erfolgreich, wird eine eingehende Verbindung auf Port 4444 hergestellt und das System wird angewiesen die Datei "msblast.exe" (UPX-gepackt, 6,176 bytes) mittels des FTP Services "tftp.exe" runterzuladen. Nach erfolgtem Download wird das System angewiesen, die Datei "msblast.exe" auf dem Remote-System auszuführen. Der Wurm schreibt einen Startaufruf in die Registry und beginnt nun seinerseits mit der Weiterverbreitung. Angenommene Schadensroutine: missbraucht PCs für DDoS-Angriffe.
Das macht der Wurm noch:
- Der Wurm kann bis zu 20 Verbindungen zu anderen betroffenen Systemen gleichzeitig aufrechterhalten
- Der Wurm infiziert XP und 2000er Systeme
- Da die Exploits auf den beiden Systemen unterschiedlich ablaufen und sich der Wurm für ein System „entscheiden“ muss, besteht die Chance, dass keine Infektion stattfindet, wenn versucht wird das falsche System zu infizieren (falscher Exploit-Code)
- Wenn der Wurm sich für das "falsche System entscheidet" (e.g. es ist XP installiert und er versucht den 2000er Code auszuführen) crasht der Prozess „svchost.exe“, das System wird unstabil und stürzt meistens ab, aber eine Infektion wird vermieden
-Wenn der Prozess „svchost.exe“ crasht wird u.U. ein Memory-Dump erstellt (user.dmp, svchost.exe.hdmp, oder vchost.exe.mdmp). Diese Dumps werden evtl. von Virenscannern als „DcomRpc.exploit“ oder „MS03-026 Exploit.Trojan“ identifiziert, da in dem Dump der schädliche Code gespeichert ist. Diese Meldungen sind jedoch harmlos und können ignoriert werden, d.h. die Dateien sind nicht infiziert und können einfach gelöscht werden. Die Existenz dieser Dateien weist lediglich auf einen evtl. fehlgeschlagenen Angriff hin
- Payload: Nach dem 16. eines Monats, oder wenn das aktuelle Datum zwischen Januar und August liegt, generiert der Wurm einen Thread, der nahezu ununterbrochen zufällig generierte Daten an windowsupdate.com sendet, was eine DDoS-Attacke auslöst (Distributed Denial of Service)
Infos von AV-Herstellern (AntiViren): http://de.mcafee.com/virusInfo/defau...virus_k=100547 (W32/Lovsan.worm) http://www.pandasoftware.com/virus_i...?idvirus=40369 (W32/Blaster) http://de.trendmicro-europe.com/ente...WORM_MSBLAST.A (WORM_MSBLAST.A) http://securityresponse.symantec.com...ster.worm.html (W32.Blaster.Worm) http://www.europe.f-secure.com/v-descs/msblast.shtml http://vil.nai.com/vil/content/v_100547.htm http://www.sophos.com/virusinfo/anal...2blastera.html
Weitere Infos zu diesem Wurm: http://de.secunia.com/advisories/9287/ http://www.heise.de/security/news/meldung/38913 http://www.heise.de/security/news/meldung/38939 http://cert.uni-stuttgart.de/ticker/...e.php?mid=1124 http://cert.uni-stuttgart.de/ticker/...e.php?mid=1132 http://www.europe.f-secure.com/v-descs/rpc.shtml http://isc.sans.org/diary.html?date=2003-08-11
Tools um den Wurm zu entfernen: http://www.sarc.com/avcenter/venc/da...oval.tool.html http://de.trendmicro-europe.com/ente...upport/tsc.php | |
|
| |