Virenwarnung: Blaster startet DDOS-Attacke auf windowsupdate.com

Gestern Nacht hat sich ein neuer Wurm bemerkbar gemacht, der die kritische DCOM RPC-Schwachstelle in Windows 2000, NT und XP ausnutzt. Er wird von Virenexperten wahlweise unter der Bezeichnung W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A, Win32.Poza, oder Worm/Lovsan.A gehandelt.

Blaster ist laut Sophos ein Wurm, der Netzwerke überprüft, wobei er nach Computern sucht, die für die Sicherheitsschwachstelle anfällig sind. Laut Symantec wird das System nach einem Befall instabil, der Virenautor erhält einen Remote-Zugriff darauf.

Zusätzlich erstelle der Wurm den folgenden Registrierungseintrag, so dass er beim Systemstart aktiviert wird: „HKLMSoftwareMicrosoftWindowsCurrentVersionRunwindows auto update“. Nach dem 15. August starte der Wurm eine Distributed-Denial-of-Service-Attacke auf windowsupdate.com.

„Blaster hat die Absicht, die Microsoft-Website windowsupdate.com aus dem Internet zu werfen“, erklärte Gernot Hacker, Senior Technical Consultant bei Sophos. „Da der Wurm für eine Denial-of-Service-Attacke auf windowsupdate.com programmiert ist, versucht der Virenschreiber ganz gezielt, Computer-Usern das Herunterladen von Sicherheits- Updates zu erschweren oder gar unmöglich zu machen. Indem die Anwender die Sicherheitslücke in ihrem System nicht schließen können, hat der Blaster Wurm freie Bahn ins Netzwerk. Ein recht gemeiner Trick vom Blaster-Autoren.“

Heimlich trägt der Wurm folgende Botschaft an Bill Gates mit sich — sie wird jedoch niemals auf dem Bildschirm angezeigt: „I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!“

Symantec bietet ein kostenloses W32.Blaster.Worm Removal Tool zum Download an. Das Programm entfernt den Wurm von befallenen Systemen.