Wie sein Vorgänger nutzt der Wurm den sogenannten RPC DCOM Buffer Overflow aus und erlaubt einem Angreifer den Vollzugriff auf das infizierte System, d.h. jeder (bösartige) Code kann per Fernzugriff auf dem anvisierten Rechner ausgeführt werden.



MSBLAST.D erreicht den Benutzer als DLLHOST.EXE (~10,240 Byte) und öffnet den Port 707, um seine Schadensroutine zu starten (Die Systemdatei mit gleichem Namenist nur 6 KB groß). Wenn das Systemdatum das Jahr 2004 erreicht hat, oder man das Systemdatum auf 2004 vorsetzt, löscht er sich selbständig vom System.



Kurioserweise löscht die neue Variante MSBLAST. D seinen Vorgänger MSBLAST.A und erzielt dadurch die Säuberung von Systemen, die mit MSBLAST.A befallen sind: Der Wurm sucht auf den betroffenen Maschinen nach der Datei msblast.exe. Ist diese Datei vorhanden, löscht der Wurm der Variante „D” diesen auf dem betroffenen Computer, terminiert den laufenden Prozess und lädt fehlende Patches von Microsoft automatisch nach. Ist der Download dieser Patches dann abgeschlossen, so startet sich der Rechner neu!



Die TrendLabs von TREND MICRO stellen ein kostenloses Säuberungstool unter folgendem Link zur Verfügung:
http://de.trendmicro-europe.com/enterprise/support/tsc.php.



Infos von Microsoft zum MSBlaster-Wurm

Trend Micro

Martin Leyrer

Tagged as: Eigene_Stories_+_News, WCM_Online-News | Author: Martin Leyrer
[Dienstag, 20030819, 08:52 | permanent link | 0 Kommentar(e)