|
|
Rubrik: Virenwarnung/Aktuelle Meldungen Trend Micro: Warnung vor neue Variante: WORM_MSBLAST.D Kostenloses Säuberungs-Tool von Trend Micro erhältlich (21.08.03) - Die TrendLabs von Trend Micro warnen vor einer neuen Variante des Computerwurm namens WORM_MSBLAST.A und stellen ein kostenloses Säuberungs-Tool unter folgendem Link zur Verfügung: http://de.trendmicro-europe.com/enterprise/support/tsc.php. Wie sein Vorgänger nutzt der Wurm den so genannten RPC DCOM Buffer Overflow aus und erlaubt einem Angreifer den Vollzugriff auf das infizierte System, d.h. jeder (bösartige) Code kann per Fernzugriff auf dem anvisierten Rechner ausgeführt werden. WORM_MSBLAST.D kursiert frei im Internet ("in the wild") und infiziert Windows NT, 2000, XP, und 2003 Systeme (Workstation- und Server-Versionen). Trend Micro erkennt den Computerwurm ab Pattern-File 614.
Anzeige
Kurioserweise löscht die neue Variante MSBLAST. D seinen Vorgänger MSBLAST.A und erzielt dadurch die Säuberung von Systemen, die mit MSBLAST.A befallen sind: Der Wurm sucht auf den betroffenen Maschinen nach der Datei msblast.exe. Ist diese Datei vorhanden, löscht der Wurm der Variante "D" diesen auf dem betroffenen Computer, terminiert den laufenden Prozess und lädt fehlende Patches von Microsoft automatisch nach. Ist der Download dieser Patches dann abgeschlossen, so startet sich der Rechner neu. MSBLAST.D erreicht den Benutzer als DLLHOST.EXE (~10,240 Byte) und öffnet den Port 707, um seine Schadroutine zu starten. (Hinweis: Es gibt eine Systemdatei mit gleichem Namen, diese ist jedoch nur 6 KB groß.). Wenn das Systemdatum das Jahr 2004 erreicht hat, oder man das Systemdatum 2004 setzt, löscht er sich selbständig vom System. Weitere Informationen zum Virus lesen Sie bitte in der
englischen Original-Presseinformation von Trend Micro: New Msblast Variant Targets Original Worm, Patches Systems Worm
MSBLAST.D deletes MSBLAST.A on some infected systems; then installs Microsoft
patches repairing Windows security flaw Virus name: WORM_MSBLAST.D Virus type: Worm Pattern file needed: 614 available now Outbreak Prevention Policy: 47 available now Trend Micro System Cleaner: 161 available now Overall Risk Rating : Medium Reported infections: Medium Damage Potential: High Distribution Potential: High Trend
Micro has detected a new variant of the MSBLAST worm, WORM_MSBLAST.D, which
attempts to delete the original worm (WORM_MSBLASTA, a/k/a Blaster, Lovesan)
from some infected systems and installs Microsoft patches designed to repair
the vulnerability which enabled it to spread. The worm usually arrives as DLLHOST.EXE (~10,240 bytes).
(Note that there is a system file with the same name but is only 6 kilobytes
in size.) Like the original worm, MSBLAST.D spreads solely through Internet
traffic and exploits the RPC DCOM buffer overflow security flaw in
Microsoft's Windows operating system. However, preliminary analysis shows
that this worm is able to delete the MSBLAST.EXE file on Windows 2000 and
Windows XP, which was delivered by WORM_MSBLAST.A and download patches to the
RPC DCOM buffer overflow exploit. Customers should be aware that
WORM_MSBLAST.D is still considered as malicious code as it scans for
un-patched systems and downloads itself to them. The following strings are visible in the worm body: ===========
I love my wife & baby :-)~~~ Welcome Chian~~~ Notice: 2004 will remove
myself:-)~~ sorry zhongli~~~=========== wins The
original MSBLAST worm was intended to launch a distributed denial of service
attack by infected machines on Microsoft's Windows Update Web site lasting
until the end of the month. However, it targeted an incorrect address (http://windowsupdate.com
from which Microsoft normally redirected traffic to the service. Microsoft
was able to deflect the worm's attack by disabling the redirect and shutting
down the Web page. The Windows Update Web site is used to deliver software
updates and patches to Microsoft customers and is also the location where
users go to obtain protection against vulnerabilities such as RPC DCOM buffer
overflow. The
vulnerability, which was confirmed by Microsoft in a security bulletin on
July 16, 2003, can allow intruders full access and the ability to execute any
code on target machines, leaving them seriously compromised. It affects
recent versions of the Windows operating system: Windows NT, 2000 and XP. For more
information on the RPC DCOM Buffer Overflow, please visit the following
Microsoft page: Microsoft Security Bulletin MS03-026 http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp Non-Trend
Micro users with Internet connections can use HouseCall, Trend Micro's free
online virus scanner, at http://housecall.trendmicro.com/
. The Trend Micro Virus Map displays information about worldwide virus trends
based on actual virus infections detected by Trend Micro www.trendmicro.com/map/. (ma) Trend Micro Tel. (089)
37479-700, Fax (089) 37479-799 E-Mail: sales@trendmicro.de Web: www.trendmicro.de |
