Wurm nutzt RPC Sicherheitslücke


Erschienen: 12.08.2003, 06:30 Uhr, Quelle: Heise, Autor: Victor Thien

Der für zahlreiche Fehlermeldungen unter Windows schuldige Wurm, welcher einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, verbreitet sich nun wie im Fluge. Symantec hat ihn W32.Blaster getauft, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab nun auch schon eine Warnung heraus, worüber es noch mehr Informationen auf heise Security gibt.

Auf schon befallenenen Systemen startet der Wurm einen TFTP-Server und greift weitere Systeme über den Port 135 an. Falls der Angriff erfolgreich war, wird der eingeschleuste Code ausgeführt, welcher auf den meisten Systemen einen unweigerlichen Neustart ausführt. Über den TFTP-Server wird eine Datei namens msblast.exe in das Verzeichnis %WinDir%System32 übertragen. Das nun infizierte System beginnt umgehend selbst mit dem Scannen nach möglichen Zielsystemen und infiziert diese ebenfalls nach dem gleichen Schema.

Symantec bietet momentan schon ein Removal-Tool an, welches den Wurm von befallenen System entfernt.

Jedoch können wir auch nur dringend empfehlen, die Patches zur Beseitigung des Fehlers einzuspielen.

« Vorherige News Nächste News »
Weitere Meldungen

Kommentar abgebenZum Thread »


Sicherheitsabfrage
Bitte übertragen Sie den Code in das Eingabefeld!