Suche innerhalb des Archivs / Search the Archive All words Any words

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[infowar.de] Wurm jagt Wurm



Infowar.de, http://userpage.fu-berlin.de/~bendrath/liste.html
-------------------------------------------------------------

Ein Wurm, der versucht, Patches gegen einen anderen Wurm (den aktuellen
W32.Blaster) zu installieren. Hmh. Wieso muss ich gerade an Terminator 3
denken?
RB


http://www.heise.de/newsticker/data/ju-18.08.03-000/

Wurm jagt Wurm [Update]

 Der Antiviren-Firma TrendMicro zufolge ist seit dem 18.8. im Internet
eine
neue Version[1] des Wurms W32.Blaster/LovSAN[2] unterwegs. Sie nutzt
zwar
die gleichen Einfallstore und Mechanismen wie LovSAN -- enthält aber
auch
eine neue Funktion: Wenn der Wurm den Original-Blaster auf dem
befallenen
Rechner entdeckt, beendet er den zugehörigen Prozess, löscht die
Wurmdatei
msblast.exe und versucht den Microsoft-Patch zu installieren. Danach
startet er den Rechner neu und macht sich auf die Jagd nach weiteren
Opfern. Zu Beginn des Jahres 2004 hat der Spuk dann ein Ende; der Wurm
entfernt sich selbst von den befallenen Systemen. Eine echte
Schadroutine
hat er laut TrendMicro nicht. 

 Der offenbar gut gemeinte Wurm dürfte Anlass zu heftigen Debatten über
die
Legitimität eines solchen Vorgehens geben. Der Anti-Viren-Hersteller
Trend
Micro hat jedoch seine Entscheidung schon getroffen: Da der Wurm ohne
Einverständnis des Benutzers agiert, wird er als Schädling klassifiziert
und von der Anti-Viren-Software gestoppt beziehungsweise entfernt.
Ähnlich
sehen das offenbar auch Network Associates und Symantec, die ebenfalls
entsprechende Updates ihrer Software und Virensignaturen bereitstellen.

 Wer ein deutsches Windows XP verwendet, sollte keinesfalls auf die
"Heilungskräfte" des neuen Wurms spekulieren: In TrendMicros Liste der
Patches, deren Adresse der Wurm enthält, findet sich kein deutscher. Der
beste Schutz ist nach wie vor, die Patches von Microsoft[3] selbst zu
installieren. Siehe dazu auch:

  Schutz vor RPC/DCOM-Wurm W32.Blaster[4] 

 Update: Network Asscoiates stuft den Wurm nicht als Variante von
W32.Blaster/LovSAN ein. Der von NAI W32/Nachi.worm[5] getaufte neue Wurm
unterscheide sich grundsätzlich von W32.Blaster. So attackiere Nachi
Windows-2000-Rechner auch über eine bekannte Schwachstelle in WebDAV[6]
(MS03-007[7]). In ersten Stellungnahmen meinte NAI, Nachis
RPC/DCOM-Exploit
würde auf Windows-2000-Systemen nicht funktionieren. NAI hat diese
Analyse
aber mittlerweile revidiert. Symantec führt den Wurm unter dem Namen
W32.Welchia.Worm[8]. (ju[9]/c't)

Links in diesem Artikel:
 [1]
http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=55745&VName=WORM_MSBLAST.D&VSect=O
 [2] http://www.heise.de/security/news/meldung/39347
 [3]
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm
 [4] http://www.heise.de/security/news/meldung/39358
 [5] http://vil.nai.com/vil/content/v_100559.htm
 [6] http://www.heise.de/security/news/meldung/37229
 [7] http://www.microsoft.com/security/security_bulletins/ms03-007.asp
 [8]
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
 [9] mailto:ju -!
- ct -
 heise -
 de

---------------------------------------------------------------
Liste verlassen: 
Mail an infowar -
 de-request -!
- infopeace -
 de mit "unsubscribe" im Text.