Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

22.08.2003 - 

Schaden durch Wurm geringer als befürchtet

Blaster kratzt an Microsofts Image

MÜNCHEN (ave) - Trotz vieler Warnungen hat der als "Blaster" oder "Lovesan" bekannt gewordene Wurm eine Unzahl von Rechnern in aller Welt infiziert. Dem geplanten Denial-of-Service-Angriff auf seine Update-Website konnte Microsoft jedoch entgehen.

Am 11. August tauchte der Blaster-Wurm zum ersten Mal auf und verbreitete sich rasend schnell. Antivirenhersteller, Sicherheitsspezialisten und Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnten mehrfach vor dem Schädling. Dieser lösche zwar keine Daten, schwäche jedoch die Stabilität von PCs oder verursache Komplettabstürze, falls er es nicht schaffe, sich weiterzuverbreiten.

Betroffen waren vor allem Rechner mit den Betriebssystemen NT, Windows 2000, XP und Windows 2003. Wegen eines Fehlers in der Schnittstelle zwischen Remote Procedure Calls (RPCs) und Windows Distributed Component Object Model (DCOM) kann durch das Senden eines speziellen RPC-Pakets an den TCP-Port 135 ein Buffer Overflow entstehen, durch den sich beliebiger schädlicher Code ausführen lässt. Microsoft hatte Mitte Juli vor diesem als kritisch eingestuften Problem gewarnt und einen Patch bereitgestellt. Anwender konnten sich auch helfen, indem sie den Port 135 ihrer Firewalls sperrten.

Eigentliches Ziel des Wurms war Microsoft selbst: Der Code des Schädlings enthielt im Wortlaut unter anderem die Botschaft: "Billy Gates, warum machst du das möglich? Hör auf, Geld zu scheffeln, und reparier deine Software." Am 16. August schließlich sollte von allen infizierten Rechnern aus eine groß angelegte Denial-of-Service- (DoS-)Attacke auf die URL windowsupdate.com erfolgen. Microsoft benutzt diese als eine Art Schaltstation, um Anwenderanfragen auf die eigentliche Support-Site umzulenken. Der Anbieter parierte den Angriff, indem er die windowsupdate-Domain löschte. Der Blaster-Angriff lief daraufhin ins Leere.

Der Wurm selbst wurde dadurch jedoch nicht gestoppt. BSI-Sprecher Manfred Dickopf bestätigt, dass der Wurm auch in Deutschland "sehr verbreitet und noch immer aktiv" ist. Nach Angaben von Olaf Lindner, Director Symantec Security Services, waren bereits wenige Tage nach Auftauchen des Wurms weltweit über 200000 Systeme infiziert.

Wie Behrooz Moayeri, Mitglied der Geschäftsleitung bei der Comconsult Beratung und Planung GmbH, Aachen, berichtet, war Deutschland von der Blaster-Plage nicht sehr stark betroffen. Die meisten IT-Spezialisten hierzulande hätten rechtzeitig den Port 135 ihrer Firewalls abgeriegelt und so Schlimmeres verhindert.

Für Microsoft bedeutet der Vorfall jedoch gerade vor dem Hintergrund seiner gestarteten Trustworthy-Computing-Initiative einen enormen Image- und Glaubwürdigkeitsverlust, auch wenn der Hersteller das nicht zugeben will. Thomas Baumgärtner, Sprecher von Microsoft Deutschland, wehrt sich gegen Kritik, denn "wir haben den Wurm ja nicht programmiert". Deswegen ändere sich auch nichts an der langfristigen Strategie, Trustworthy Computing ist seiner Ansicht nach "auch weiterhin ein guter Ansatz".

BSI-Mann Dickopf kritisiert: "Microsoft hätte die Endanwender stärker sensibilisieren sollen, das passierte erst, als das Kind schon im Brunnen war." Er hält das Kommunikationsverhalten des Unternehmens für "verbesserungswürdig". Microsoft-Mann Baumgärtner räumt ein: "Wir müssen unsere Informationspolitik verbessern, vor allem, was die Endanwender betrifft." Am Risiko, von digitalen Schädlingen befallen zu werden, wird sich jedoch wohl nichts ändern, sind sich Branchenkenner einig. "Es führt nun mal kein Weg an Microsoft vorbei", lautet die immer gleiche Antwort.

Unterdessen macht mit "Nachi" bereits der nächste Wurm die Runde. Er nutzt ebenfalls die RPC-DCOM-Schwäche aus, verbreitet sich sehr schnell und entfernt kurioserweise Blaster von den Systemen, die er befällt. Außerdem lädt er den Microsoft-Patch herunter und installiert ihn auf dem jeweiligen Rechner. Nachi ist so programmiert, dass er sich am 1. Januar 2004 selbst löscht. (ave)