[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[infowar.de] Wurm jagt Wurm

To: "Infowar.de" <infowar - de -! - infopeace - de>
Subject: [infowar.de] Wurm jagt Wurm
From: Ralf Bendrath <ralf - bendrath -! - sfb597 - uni-bremen - de>
Date: Tue, 19 Aug 2003 18:59:38 +0200
Reply-to: infowar - de -! - infopeace - de
Sender: bendrath -! - zedat - fu-berlin - de

Infowar.de, http://userpage.fu-berlin.de/~bendrath/liste.html
-------------------------------------------------------------

Ein Wurm, der versucht, Patches gegen einen anderen Wurm (den aktuellen
W32.Blaster) zu installieren. Hmh. Wieso muss ich gerade an Terminator 3
denken?
RB


http://www.heise.de/newsticker/data/ju-18.08.03-000/

Wurm jagt Wurm [Update]

 Der Antiviren-Firma TrendMicro zufolge ist seit dem 18.8. im Internet
eine
neue Version[1] des Wurms W32.Blaster/LovSAN[2] unterwegs. Sie nutzt
zwar
die gleichen Einfallstore und Mechanismen wie LovSAN -- enthält aber
auch
eine neue Funktion: Wenn der Wurm den Original-Blaster auf dem
befallenen
Rechner entdeckt, beendet er den zugehörigen Prozess, löscht die
Wurmdatei
msblast.exe und versucht den Microsoft-Patch zu installieren. Danach
startet er den Rechner neu und macht sich auf die Jagd nach weiteren
Opfern. Zu Beginn des Jahres 2004 hat der Spuk dann ein Ende; der Wurm
entfernt sich selbst von den befallenen Systemen. Eine echte
Schadroutine
hat er laut TrendMicro nicht. 

 Der offenbar gut gemeinte Wurm dürfte Anlass zu heftigen Debatten über
die
Legitimität eines solchen Vorgehens geben. Der Anti-Viren-Hersteller
Trend
Micro hat jedoch seine Entscheidung schon getroffen: Da der Wurm ohne
Einverständnis des Benutzers agiert, wird er als Schädling klassifiziert
und von der Anti-Viren-Software gestoppt beziehungsweise entfernt.
Ähnlich
sehen das offenbar auch Network Associates und Symantec, die ebenfalls
entsprechende Updates ihrer Software und Virensignaturen bereitstellen.

 Wer ein deutsches Windows XP verwendet, sollte keinesfalls auf die
"Heilungskräfte" des neuen Wurms spekulieren: In TrendMicros Liste der
Patches, deren Adresse der Wurm enthält, findet sich kein deutscher. Der
beste Schutz ist nach wie vor, die Patches von Microsoft[3] selbst zu
installieren. Siehe dazu auch:

  Schutz vor RPC/DCOM-Wurm W32.Blaster[4] 

 Update: Network Asscoiates stuft den Wurm nicht als Variante von
W32.Blaster/LovSAN ein. Der von NAI W32/Nachi.worm[5] getaufte neue Wurm
unterscheide sich grundsätzlich von W32.Blaster. So attackiere Nachi
Windows-2000-Rechner auch über eine bekannte Schwachstelle in WebDAV[6]
(MS03-007[7]). In ersten Stellungnahmen meinte NAI, Nachis
RPC/DCOM-Exploit
würde auf Windows-2000-Systemen nicht funktionieren. NAI hat diese
Analyse
aber mittlerweile revidiert. Symantec führt den Wurm unter dem Namen
W32.Welchia.Worm[8]. (ju[9]/c't)

Links in diesem Artikel:
 [1]
http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=55745&VName=WORM_MSBLAST.D&VSect=O
 [2] http://www.heise.de/security/news/meldung/39347
 [3]
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm
 [4] http://www.heise.de/security/news/meldung/39358
 [5] http://vil.nai.com/vil/content/v_100559.htm
 [6] http://www.heise.de/security/news/meldung/37229
 [7] http://www.microsoft.com/security/security_bulletins/ms03-007.asp
 [8]
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
 [9] mailto:ju -!
- ct -
 heise -
 de

---------------------------------------------------------------
Liste verlassen: 
Mail an infowar -
 de-request -!
- infopeace -
 de mit "unsubscribe" im Text.

Prev by Date: [infowar.de] USA: Erste Gefängnisstrafe wegen Veröffentlichung einer Sicherheitslücke
Next by Date: [infowar.de] Navy says intranet hit by worm but still functioning
Previous by thread: [infowar.de] USA: Erste Gefängnisstrafe wegen Veröffentlichung einer Sicherheitslücke
Next by thread: [infowar.de] Navy says intranet hit by worm but still functioning
Index(es):
- Date
- Thread