W32.Lovsan

W32.Lovsan

W32.Blaster (auch W32.Lovsan oder MSBlast genannt) ist ein Computerwurm aus dem Jahre 2003, der sich durch Ausnutzung einer Sicherheitslücke in der RPC-Schnittstelle von Microsoft Windows verbreitet. Die Verbreitung findet ausschließlich auf den Betriebssystemen Windows 2000, XP und Windows Server 2003 über den TCP-Port 135 statt.

Das Distributed Computing Environment (DCE), das auf einer Vielzahl verschiedener Betriebssysteme installiert sein kann, verwendet auch RPCs über Port 135. In Folge einer Schwachstelle in der Implementierung einiger Hersteller kann auf manchen Plattformen der DCE-Dienst durch den Wurm zum Absturz gebracht werden. Außerdem führt der Wurm nach kurzer Zeit den Befehl "shutdown -s" aus, um so den PC nach einem Countdown herunterzufahren. Dieses lässt sich jedoch mit "shutdown -a" abbrechen.

Der Wurm kann allerdings bei einem Angriff nicht erkennen, ob das Angriffsziel bereits befallen ist. Er bremst sich deshalb in der Verbreitung selbst aus, da er auch bereits befallene Windows-Rechner zum Absturz bringt. Erst wenn der Angriff erfolgreich war, wird überprüft, ob die Datei msblast.exe bereits auf der Festplatte vorhanden ist.

Der Wurm sollte am 16. August 2003 einen Distributed-Denial-of-Service-Angriff auf die Updateseiten der Firma Microsoft durchführen, auf denen auch der Patch für die Sicherheitslücke lagert.

Mutationen

Mittlerweile tritt der Wurm auch in zahlreichen Mutationen auf. Einige dieser Mutationen kombinieren den Wurm mit Trojanischen Pferden.

Diese Entwicklung stellt mittlerweile auch eine direkte Bedrohung für die Systemsicherheit der Anwender dar, da der Wurm sich nicht mehr auf die Verbreitung beschränkt, sondern die Systeme der Nutzer für einen zukünftigen Angriff präpariert.

Der Wurm tritt mittlerweile in sechs Varianten auf:

  • Variante A
  • Variante B, bei dem die Wurmdatei in „penis32.exe“ umbenannt wurde
  • Variante C, bei dem die Wurmdatei in „teekids.exe“ umbenannt wurde
  • Variante D in Kombination mit dem Trojaner BKDR_LITH.103.A, der eine Backdoor installiert
  • Variante E trägt unter anderem die Bezeichnungen Nachi, Welchia und Lovsan.D. Der Schädling sucht auch auf dem TCP-Port 135 nach verwundbaren Windows-Systemen im Internet. Alternativ sendet der Wurm Daten über den TCP-Port 80, um das im März 2003 entdeckte WebDAV-Sicherheitsloch zur Verbreitung zu nutzen. Über das RPC-Leck greift der Wurm nur Maschinen mit Windows XP an, während über die WebDAV-Lücke sowohl Systeme mit Windows 2000 als auch XP attackiert werden. Zu erkennen ist er an massiv vielen ICMP-Floodings im lokalen Netz.
  • Variante G

Funktionsweise

  1. Der Angreifer startet einen TFTP-Server, um so den Wurm auf den Computer einzuschleusen.
  2. Eine Verbindung zwischen dem Angreifer und seinem Opfer wird auf dem TCP-Port 135 hergestellt.
  3. Eine Shell wird auf dem Opfer hergestellt, welche auf den TCP-Port 4444 lauscht.
  4. Der Angreifer führt einen Befehl über die Shell aus, um das Opfer zu veranlassen, den Wurm zu installieren.
  5. Der Angreifer beendet die Verbindung zur Shell des Opfers, anschließend stoppt die Shell das Lauschen auf dem TCP-Port 4444 des Opfers.
  6. Das Opfer startet einen TFTP-Server und Prozesse anderer Anweisungen (z. B. zur Änderung der Registrierungsschlüssel usw.).

Weblinks


Wikimedia Foundation.

Игры ⚽ Поможем написать реферат

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Lovsan — W32.Blaster (auch W32.Lovsan oder MSBlast genannt) ist ein Computerwurm aus dem Jahre 2003, der sich durch Ausnutzung einer Sicherheitslücke in der RPC Schnittstelle von Microsoft Windows verbreitet. Die Verbreitung findet ausschließlich auf den… …   Deutsch Wikipedia

  • W32.Blaster — (auch W32.Lovsan oder MSBlast genannt) ist ein Computerwurm aus dem Jahre 2003, der sich durch Ausnutzung einer Sicherheitslücke in der RPC Schnittstelle von Microsoft Windows verbreitet. Die Verbreitung findet ausschließlich auf den… …   Deutsch Wikipedia

  • MSBlast — W32.Blaster (auch W32.Lovsan oder MSBlast genannt) ist ein Computerwurm aus dem Jahre 2003, der sich durch Ausnutzung einer Sicherheitslücke in der RPC Schnittstelle von Microsoft Windows verbreitet. Die Verbreitung findet ausschließlich auf den… …   Deutsch Wikipedia

  • Blaster (компьютерный червь) — У этого термина существуют и другие значения, см. Бластер (значения). Blaster, так же известный как Lovsan, Lovesan или MSBlast  компьютерный червь, распространявшийся на компьютерах, работавших с операционными системами Windows 2000 и… …   Википедия

  • August 2003 — Portal Geschichte | Portal Biografien | Aktuelle Ereignisse | Jahreskalender ◄ | 20. Jahrhundert | 21. Jahrhundert     ◄ | 1970er | 1980er | 1990er | 2000er | 2010er       ◄ | 1999 | 2000 | 2001 | 2002 | 2003 | 2004 |… …   Deutsch Wikipedia

  • Welchia — The Welchia worm, also known as the Nachia worm, is a computer worm that exploits a vulnerability in the Microsoft Remote procedure call (RPC) service similar to the Blaster worm. However unlike Blaster, it tries to download and install security… …   Wikipedia

  • Welchia — El gusano Welchia, también conocido como Nachia worm , es un gusano informático que explota una vulnerabilidad en los servicios Remote procedure call (RPC) de Microsoft, de una forma similar al worm Blaster. Al contrario que éste, Welchia intenta …   Wikipedia Español

  • Computerwurm — Ein Computerwurm (im Computerkontext kurz Wurm) ist ein Computerprogramm oder Skript mit der Eigenschaft, sich selbst zu vervielfältigen, nachdem es ausgeführt wurde.[1] In Abgrenzung zum Computervirus verbreitet sich der Wurm, ohne fremde… …   Deutsch Wikipedia

  • DDoS — Als Denial of Service (DoS, zu Deutsch etwa: Dienstverweigerung) bezeichnet man einen Angriff auf einen Host (Server) oder sonstigen Rechner in einem Datennetz mit dem Ziel, einen oder mehrere seiner Dienste arbeitsunfähig zu machen. In der Regel …   Deutsch Wikipedia

  • Ddos — Als Denial of Service (DoS, zu Deutsch etwa: Dienstverweigerung) bezeichnet man einen Angriff auf einen Host (Server) oder sonstigen Rechner in einem Datennetz mit dem Ziel, einen oder mehrere seiner Dienste arbeitsunfähig zu machen. In der Regel …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”