Trend Micro warnt vor neuer MSBlaster-Variante
Martin Leyrer
Wie sein Vorgänger nutzt der Wurm den sogenannten RPC DCOM Buffer Overflow aus und erlaubt einem Angreifer den Vollzugriff auf das infizierte System, d.h. jeder (bösartige) Code kann per Fernzugriff auf dem anvisierten Rechner ausgeführt werden.
MSBLAST.D erreicht den Benutzer als DLLHOST.EXE (~10,240 Byte) und öffnet den Port 707, um seine Schadensroutine zu starten (Die Systemdatei mit gleichem Namenist nur 6 KB groß). Wenn das Systemdatum das Jahr 2004 erreicht hat, oder man das Systemdatum auf 2004 vorsetzt, löscht er sich selbständig vom System.
Kurioserweise löscht die neue Variante MSBLAST. D seinen Vorgänger MSBLAST.A und erzielt dadurch die Säuberung von Systemen, die mit MSBLAST.A befallen sind: Der Wurm sucht auf den betroffenen Maschinen nach der Datei msblast.exe. Ist diese Datei vorhanden, löscht der Wurm der Variante „D” diesen auf dem betroffenen Computer, terminiert den laufenden Prozess und lädt fehlende Patches von Microsoft automatisch nach. Ist der Download dieser Patches dann abgeschlossen, so startet sich der Rechner neu!
Die TrendLabs von TREND MICRO stellen ein kostenloses Säuberungstool unter folgendem Link zur Verfügung:
http://de.trendmicro-europe.com/enterprise/support/tsc.php.
Infos von Microsoft zum MSBlaster-Wurm
Trend Micro
Die Meldung finden Sie im Original unter http://www.wcm.at/story.php?id=5445
Tagged as: Eigene_Stories_+_News, WCM_Online-News | Author: Martin Leyrer
[Dienstag, 20030819, 08:52 | permanent link | 0 Kommentar(e)
Comments are closed for this story.