240758

Schnell Windows abschotten: W32.Blaster-Nachfolger bereits im Anmarsch

13.08.2003 | 10:12 Uhr |

Der Wurm "W32.Blaster" (auch "Lovsan" genannt) wütet seit der Nacht zum Dienstag im Internet. Der Wurm nutzt eine seit längerem bekannte RPC-Sicherheitslücke in Windows NT, 2000, XP und Server 2003, um sich in den Rechnern einzunisten. Jetzt ist bereits ein Nachfolge-Wurm aufgetaucht, der ebenfalls diese Sicherheitslücke ausnutzt und eine größere Bedrohung darstellt. Die Antivirenspezialisten von Trend Micro haben den neuen Wurm auf den Namen "WORM_RPCSDBOT.A" getauft.

Der Wurm "W32.Blaster" (auch "Lovsan" genannt) wütet seit der Nacht zum Dienstag im Internet. Der Wurm nutzt eine seit längerem bekannte RPC-Sicherheitslücke in Windows NT, 2000, XP und Server 2003 um sich in den Rechnern einzunisten.

Jetzt ist bereits ein Nachfolge-Wurm aufgetaucht, der ebenfalls diese Sicherheitslücke ausnutzt und eine größere Bedrohung darstellt. Die Antivirenspezialisten von Trend Micro haben ihn auf den Namen "WORM_RPCSDBOT.A" getauft.

Der Code des neuen Wurms gleicht größtenteils dem des "Blaster"-Wurms. Er verbreitet sich auch auf die gleiche Art und Weise wie sein Vorgänger. Von einem befallenen Rechner aus sucht der Wurm über den Port 135 per zufällig generierter IP-Adressen nach neuen Rechnern, bei denen die Windows-Sicherheitslücke noch nicht geschlossen wurde und infiziert diese dann, in dem er sich per TFTP überträgt.

Im Gegensatz zum "Blaster" enthält der Nachfolger auch eine Backdoor-Funktion und stellt damit eine größere Gefahr dar. Der Wurm öffnet auf einem befallenen System eine Verbindung zu einem IRC-Server (Internet Relay Chat) und wartet auf Befehle. Dies könnte es dem Angreifer erlauben, per Fernzugriff die Kontrolle über den Rechner zu übernehmen.

0 Kommentare zu diesem Artikel
240758