ist ein wurm -_-
http://cert.uni-stuttgart.de/ticker/article.php?mid=1132�
[MS/Generic] DCOM/RPC-Wurm im Umlauf
(2003-08-11 22:23:14.622823+02) Druckversion
Quelle:
http://isc.sans.org/diary.html?date=2003-08-11
Es ist ein Wurm im Umlauf, der zur Verbreitung die Ende Juli bekanntgewordene DCOM/RPC-Schwachstelle in Microsoft Windows verwendet.
Betroffene Systeme
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Frühere Versionen werden von Microsoft nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Schwachstelle betroffen.
Abhängig davon, wie viele Systeme im eigenen Netz und weltweit befallen sind, kann es zu Netzstörungen kommen, die weitere Systeme beeinträchtigen.
Einfallstor
TCP-Port 135. Zur Weiterverbreitung sind wahrscheinlich UDP-Port 69 (TFTP) und TCP-Port 4444 erforderlich.
Auswirkung
Momentan ist nur bekannt, daß das befallene System zu Scannen beginnt.
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Seit etwa 19:00 Uhr MESZ ist ein Wurm im Umlauf, der die Schwachstelle im DCOM/RPC-Service für Microsoft Windows ausnutzt (siehe [MS/Windows NT/2000/XP/2003] Kritische RPC-Schwachstelle). Der Wurm verwendet offenbar den Servicepack-unabhängigen Exploit für Windows 2000, wodurch Windows-XP-Systeme eventuell durch diesen Wurm nicht gefährdet sind. Die Übertragung des Wurmes nach erfolgreicher Kompromittierung erfolgt wahrscheinlich mit TFTP (UDP-Port 69) und TCP-Port 4444. Zur Eindämmung ist es also empfehlenswerte, diese Ports zu filtern.
Symptome für einen Befall ist (neben dem unten erwähnten Portscan) das Vorhandensein einer Datei namens "msblast.exe" und ein neuer Eintrag unter SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit dem Namen "windows auto update". Aufgrund von Suchpfad-Problemen ist es allerdings systemabhängig, ob der Wurm nach einem Neustart des Systems wieder aktiviert wird.
Der Wurm sucht über einen Scan auf dem Port 135/TCP nach weiteren verwundbaren Systemen. Dies schlägt sich in der Zahl der Scans auf TCP-Port 135 nieder und in der Zahl der Quellen (Zeiten sind in UTC/GMT):
time | flows | sources
---------------------+-------+---------
2003-08-11 00:00:00 | 3357 | 7
2003-08-11 01:00:00 | 18130 | 8
2003-08-11 02:00:00 | 296 | 3
2003-08-11 03:00:00 | 176 | 1
2003-08-11 04:00:00 | 634 | 2
2003-08-11 05:00:00 | 459 | 3
2003-08-11 06:00:00 | 8484 | 7
2003-08-11 07:00:00 | 2588 | 9
2003-08-11 08:00:00 | 2761 | 7
2003-08-11 09:00:00 | 5688 | 7
2003-08-11 10:00:00 | 7154 | 11
2003-08-11 11:00:00 | 3008 | 47
2003-08-11 12:00:00 | 2509 | 11
2003-08-11 13:00:00 | 1556 | 4
2003-08-11 14:00:00 | 624 | 6
2003-08-11 15:00:00 | 2879 | 8
2003-08-11 16:00:00 | 3769 | 7
2003-08-11 17:00:00 | 4895 | 48
2003-08-11 18:00:00 | 4726 | 31
2003-08-11 19:00:00 | 5374 | 54
2003-08-11 20:00:00 | 8204 | 36
Die letzte Zeile erstreckt sich nur bis 22:30 MESZ, es ist also ein deutlicher Anstieg zu beobachten.
Gegenmaßnahmen
Um die Verbreitung dieses Wurmes im eigenen Netz einzudämmen, kann UDP-Port 69 (TFTP) und TCP-Port 4444 gefiltert werden, selbst wenn eine generelle Sperre für 135/TCP nicht möglich ist.
Da die Verbreitung über die Festplatte erfolgt, wird wahrscheinlich Antiviren-Software nach einem Signatur-Update die Verbreitung unterbinden können.
, aber wenn ihr dass sagt wirds so sein.
