Rubrik: Virenwarnung/Aktuelle Meldungen

Network Associates: Warnung vor neuem Wurm "W32/Lovsan.worm"

Wurm verbreitet sich über eine Windows-Sicherheitslücke im RPC-Protokoll

(12.08.03) - "AVERT" (Anti Virus Emergency Response Team), das Virenforschungslabor von Network Associates (NYSE: NET), stuft den gestern Abend entdeckten Internet-Wurm W32/Lovsan.worm als äußerst gefährlich ein. Der Wurm verbreitet sich über eine Windows-Sicherheitslücke im RPC-Protokoll etlicher Windows-Betriebssysteme, die bereits Mitte Juli 2003 von Microsoft bekannt gegeben wurde. Über zufällig ausgewählte IP-Adressen auf dem TCP-Port 135 sucht sich der Wurm im Internet die anfälligen Betriebssysteme selbst aus. Trifft er dabei auf ein System ohne installierten Patch, wird die Remote-Shell auf TCP-Port 4444 geöffnet, der Wurm-Code "msblast.exe" über TFTP auf den Rechner geladen und anschließend in das Windows-Verzeichnis System32 kopiert. Danach ist der Wurm am UDP-Port 69 präsent und versendet Code von dort aus auf Anfrage weiter.

Einmal gestartet, kreiert der Wurm einen der folgenden Registry-Einträge:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/

Run "windows auto update" = msblast.exe

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/

Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!

Symptome im Überblick:

·         Präsenz von ungewöhnlichen TFTP-Dateien

·         Präsenz des Files msblast.exe im Windows-System32-Ordner

·         Fehlermeldung über Ausfall des RPC-Dienstes mit Absturz des Systems bzw. Rebooting

·         Öffnen von 20 verschiedenen TCP-Ports zum "Lauschen" per Random-Auswahl (betroffen sind 2500-2520, 2501-2521, 2502-2522)

Weiterhin startet der Wurm zu einem späteren Zeitpunkt eine Denial-of-Service-Attacke auf die Website www.windowsupdate.com, um zu verhindern, dass Anwender entsprechende Patches zur Abwehr auf das Betriebssystem aufspielen.

Genaue Details finden Sie unter:

http://vil.nai.com/vil/content/v_100547.htm

Beseitigung des Wurms

Proaktiv wird dieser Wurm durch die DAT4283-Signaturen vom 6. August als "Exploit-DcomRpc"-Trojaner erkannt. Network Associates bietet zur eindeutigen Erkennung und Beseitigung des Wurm bereits ein neues Update der Anti-Viren Signaturen (DAT4284) an. Für Sniffer-Kunden steht der Download eines Sniffer-Filters zur Aufdeckung von W32/Lovsan.worm-Traffic zur Verfügung (Sniffer Distributed 4.3 and Sniffer Portable 4.7.5). (ma)

Network Associates

Ansprechpartnerin: Isabell Unseld

Tel. (089) 3707-1535, Fax (089) 3707-1199

E-Mail: isabell_unseld@nai.com

Web: www.nai.com