Sophos warnt: Blaster breitet sich im Schneeball-System aus

August 13, 2003 Sophos Press Release

Der Blaster Wurm enthält eine Meldung, in der Microsoft und Bill Gates angepöbelt werden

Das technische SupportTeam von Sophos verzeichnet einen stündlichen Anstieg an Anrufen von besorgten Computeranwendern zu den Auswirkungen des Blaster Wurms. Der in der Nacht vom 11. August das erste Mal aufgetauchte Wurm agiert ganz gegensätzlich zu den gewöhnlichen EMailfähigen Würmern, die meist über PCNutzer hereinbrechen und nach kurzer Umlaufzeit wieder von der Bildfläche verschwinden. Blaster dagegen dreht seine Runden im Internet und sucht nach Schwachstellen im Microsoft Windows Betriebssystem was ihm zur Zeit eine rasante Eigendynamik verschafft.

Experten bei Sophos warnen Anwender davor, dass Rechner selbst ohne offensichtliche Anzeichen von Blaster befallen sein könnten. Infizierte PCs arbeiten merklich langsamer. Computer, die mit Windows XP laufen, neigen dazu, sich permanent neu zu booten. Sophos ist besorgt, dass viele Nutzer besonders Heimanwender die Zeichen als alltägliches Zipperlein des Rechners deuten und die Infektion nicht wahrnehmen und beheben.

"Blaster ist gerade dabei, sich einen Namen als meist verbreiteter Virus der Welt zu machen", kommentiert Gernot Hacker, Senior Technical Consultant bei Sophos. "Obwohl Microsoft und das US Department of Homeland Security vor einiger Zeit über die Windows Sicherheitslücke aufgeklärt haben, hat anscheinend nicht jeder das bereitgestellte Patch rechtzeitig installiert."

"Blaster ist so unscheinbar und lautlos wie ein Schatten, denn indem er sich nicht durch ein EMail einschleust, schöpfen Anwender kaum Verdacht. Da er außerdem keine Sprachbarrieren kennt, ist Blaster zweifelsohne ein globaler Wurm", so Gernot Hacker weiter. "Die Gefahr besteht jetzt wirklich darin, dass die meisten User nicht wissen, dass ihr Rechner verseucht ist. Obwohl wir schon Berge von Kundenreports zu diesem Wurm erhalten haben, könnte dies erst die Spitze des Eisbergs sein."

Der Blaster Wurm programmiert automatisch alle befallenen PCs, in der Nacht vom Freitag, 15. August, zum Samstag, 16. August, um Mitternacht Ortszeit eine DenialofServiceAttacke auf die UpdateWebsite von Microsoft (www.windowsupdate.com) zu starten. Microsoft nutzt diese Website, um notwendige SicherheitsPatches der MicrosoftNutzergemeinde verfügbar zu machen unter anderem auch eines gegen die Schwachstelle, die Blaster ausnutzt. Falls die Attacke erfolgreich ist, wird es WindowsHeimanwendern unmöglich sein, die Website aufzurufen und erforderliche Patches herunterzuladen.

"Erst an dem Punkt, wenn Microsofts UpdateWebsite unter Beschuss ist, können wir realistisch einschätzen, wie verbreitet Blaster wirklich ist. Die erste Angriffswelle beginnt voraussichtlich Schlag Mitternacht im asiatisch pazifischen Raum sprich Freitag früher Nachmittag deutsche Zeit. Die Attacken werden sich wie ein SchneeballEffekt über den ganzen Erdball ziehen, sobald es in jeder Zeitzone Mitternacht schlägt und die Anwender wieder beginnen, ihre Rechner anzuschalten", sagt Hacker.

Weitere Infos: Hinweise zum Schutz vor dem Wurm und eine Anleitung, wie Sie Infektionen mit dem BlasterWurm entfernen.