# Virus Alert Category 3 - W32.Blaster.Worm



## Devilfrank (12 August 2003)

W32.Blaster.Worm is a worm that will exploit the DCOM RPC vulnerability (described in Microsoft Security Bulletin MS03-026) using TCP port 135. It will attempt to download and run the file Msblast.exe.

You should block access to TCP port 4444 at the firewall level, and block the following ports, if they do not use the applicaitons listed:


TCP Port 135, "DCOM RPC" 
UDP Port 69, "TFTP"

The worm also attempts to perform a Denial of Service on windowsupdate.com. This is an attempt to disable your ability to patch you computer against the DCOM RPC vulnerability.

Click here for more information on the vulnerability being exploited by this worm and to find out which Symantec products can help mitigate risk from this vulnerability.

NOTE: This threat will be detected by virus definitions having:
Defs Version: 50811s
Sequence Number: 24254
Extended Version: 8/11/2003 rev. 19

Also Known As: W32/Lovsan.worm [McAfee] 

Type: Worm 
Infection Length: 6,176 bytes 



Systems Affected: Windows 2000, Windows XP 
Systems Not Affected: Linux, Macintosh, OS/2, UNIX 
CVE References: CAN-2003-0352 

http://securityresponse.symantec.com/avcen...aster.worm.html

Symantec reagiert mit LiveUpdate.


----------



## technofreak (12 August 2003)

Hier eine Beschreibung für die nicht so erfahrenen User:  

http://www.spiegel.de/netzwelt/technologie/0,1518,260956,00.html


			
				Der Spiegel schrieb:
			
		

> Der Großangriff auf das Internet hat begonnen
> 
> Die Hacker-Attacke auf das Internet, vor der US-Behörden seit Ende Juli warnen, hat offenbar begonnen: Das Virus "Blaster" alias "LovSan" verbreitet sich rasend und bereitet eine gigantische DoS-Attacke vor. Ziel des Angriffes: Microsoft.



und :
http://www.heise.de/newsticker/data/dab-12.08.03-000/


			
				Heise schrieb:
			
		

> Alle Schotten dicht -- W32.Blaster greift an
> 
> Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security.


und:
http://www.bsi.de/presse/pressinf/blaster1208.htm


			
				BSI schrieb:
			
		

> Neuer Computer-Wurm "Blaster" alias "Lovsan" mit hoher Verbreitung im Umlauf - kurzfristiges Handeln notwendig.
> 
> Bonn, 12. August 2003 - Der Computer-Wurm "Blaster" alias "Lovsan" verbreitet sich aufgrund einer Sicherheitslücke in den Microsoft Betriebssystemen Windows NT 4.0, Windows 2000, Windows XP Microsoft und Windows Server 2003.


----------



## Heiko (12 August 2003)

Da kam gestern abend schon ein Alert von Trend Micro.


----------



## Rainer (13 August 2003)

Mittlerweile ist wohl schon, wie von Experten befürchtet, ein Nachfolger im Anmarsch:



> Der Wurm "W32.Blaster" (auch "Lovsan" genannt) wütet seit der Nacht zum Dienstag im Internet. Der Wurm nutzt eine seit längerem bekannte RPC-Sicherheitslücke in Windows NT, 2000, XP und Server 2003 um sich in den Rechnern einzunisten.
> 
> Jetzt ist bereits ein Nachfolge-Wurm aufgetaucht, der ebenfalls diese Sicherheitslücke ausnutzt und eine größere Bedrohung darstellt. Die Antivirenspezialisten von  Trend Micro  haben ihn auf den Namen "WORM_RPCSDBOT.A" getauft.
> 
> Der Code des neuen Wurms gleicht größtenteils dem des "Blaster"-Wurms. Er verbreitet sich auch auf die gleiche Art und Weise wie sein Vorgänger. Von einem befallenen Rechner aus sucht der Wurm über den Port 135 per zufällig generierter IP-Adressen nach neuen Rechnern, bei denen die Windows-Sicherheitslücke noch nicht geschlossen wurde und infiziert diese dann, in dem er sich per TFTP überträgt.



Näheres hier: http://www.pcwelt.de/news/viren_bugs/33171/


----------



## Devilfrank (13 August 2003)

Jepp, jetzt werden offensichtlich die Mutanten generiert, um die Wirksamkeit des Patches zu testen.
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.b.worm.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.e.html

Update: 20:14Uhr
http://www.sophos.com/virusinfo/analyses/w32blasterb.html


----------



## technofreak (14 August 2003)

http://www.heise.de/newsticker/data/dab-14.08.03-000/


			
				Heise schrieb:
			
		

> RPC/DCOM-Wurm W32.Blaster mutiert
> 
> Nach dem Auftauchen der ersten Variante WORM_RPCSDBOT über die bereits gestern berichtet wurde,
> sind weitere Mutationen von W32.Blaster alias Lovesan gesichtet worden. W32.Blaster.B und Blaster.C
> ...


Die Jungs haben einen seltsamen Humor....

und noch was , von wegen das unbesiegbare Linux:
http://www.heise.de/newsticker/data/dab-13.08.03-002


			
				Heise schrieb:
			
		

> W32.Blaster attackiert auch Nicht-Windows-Systeme
> In einer Vulnerability Note weist CERT/CC darauf hin, dass beliebige andere Betriebssystem-Plattformen
> ebenfalls vom Wurm W32.Blaster über Port 135 angegriffen werden können.


Wie sagt der Experte "ohne FW bewege ich mich keinen Millimeter im Netz."   
tf


----------



## Devilfrank (14 August 2003)

Na ja, Heise nu wieder.
Systems Not Affected:  Linux, Macintosh, OS/2, UNIX, Windows 95, Windows 98, Windows Me, Windows NT 
Das gilt für alle derzeit bekannten Mutants.

Und es war Sommer...
 :lol:


----------



## Anonymous (15 August 2003)

*Panik*

Hallö

Also das ist doch alles Panikmache!!!
 :evil:


----------



## Devilfrank (15 August 2003)

Panikmache würde ich das nicht nennen:
http://isc.sans.org/


----------



## AmiRage (15 August 2003)

*Re: Panik*



			
				JJ schrieb:
			
		

> Also das ist doch alles Panikmache!!!


Und wieso ist das Deiner Meinung nach Panikmache?

Läuft Dein System auf Windows 98?

Bis jetzt haben es hier zumindest kein anderer Wurm oder Virus o.ä. (oder eine Sicherheitslücke) geschafft, dass sich die Rechner irgendwann selbstständig herunterfahren und dass auch teilweise bevor man überhaupt in der Lage war ein Update zu fahren.


----------



## Devilfrank (15 August 2003)

Wobei es auch für W9x den entsprechenden Ableger gibt, der auch korrekt arbeitet.
http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.e.html


----------



## technofreak (15 August 2003)

Da ist aber etwas was ich nicht verstehe:


			
				Symantec schrieb:
			
		

> Microsoft Security Bulletin MS03-026
> Systems Affected: 	Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP





			
				Microsoft schrieb:
			
		

> Microsoft Security Bulletin MS03-026
> * Microsoft Windows NT® 4.0
> * Microsoft Windows NT 4.0 Terminal Services Edition
> * Microsoft Windows 2000
> ...



Von W95/98 wird dort gar nicht gesprochen, wenn aber ME nicht betroffen ist, glaub ich nicht daß 95/98 betroffen sind,
da ME wohl kaum in dieser Richtung gepatcht wurde. Außerdem sagt Symantec genau das Gegenteil.
Etwas verwirrend....


----------



## Devilfrank (15 August 2003)

W95/W98 wird von M$ nicht mehr supported. Deshalb werden diese BS auch nicht behandelt.
Warum sich M$ und Symantec wegen W9x generell nicht einig sind - keine Ahnung.


----------



## technofreak (15 August 2003)

Das Problem ist nur , da M$ sagt "not affected" gibt es auch keinen Patch, selbst  für das (noch) supportete ME.


----------



## Anonymous (15 August 2003)

*also*

Also wenn man zB. Norton firewall  drauf hat, und ein update gemacht hat,
ist man doch sicher oder???  Das ist doch nicht der erste Wurm im
Net? Also ich habe Xp und Norton drauf  , und ich habe eigentlich
keine angst...   Vielleicht kann ich es mir auch nicht so richtig vorstellen,
betroffen zu sein?


----------



## Anonymous (15 August 2003)

@jj,

also wenn du ne firewall hast, biste im normalfall sicher! ob das system gepatcht ist oder nicht, spielt dabei keine rolle


----------



## Anonymous (15 August 2003)

*..*

Also mann sollte auch sicher sein - für was kauft mann sonst 
das ganze zeug ! ?   Ich weiß ja net, aber ich habe gehört,
das symantec die besten sind .  :holy:


----------



## technofreak (15 August 2003)

abc schrieb:
			
		

> @jj,
> 
> also wenn du ne firewall hast, biste im normalfall sicher! ob das system gepatcht ist oder nicht, spielt dabei keine rolle



Das ist gut und schön , aber der Otto Normalo hat weder das Know How noch die Zeit ,
 eine FW zu installieren und vor allem zu konfigurieren.
Eine Firewall, die nicht richtig konfiguriert ist, erzeugt erstens jede Menge Verwirrung und was noch schlimmer  ist
ein Gefühl von Sicherheit , das eben falsch ist. Nicht jeder verbringt den Tag damit seinen PC ständig 
auf alle notwendigen Updates zu checken oder mit Firewalls sich schützen zu müssen.
Was würden wohl Autofahrer sagen , wenn sie morgens  täglich erst mal zur Werkstatt fahren müßten
 um zu überprüfen, ob die Bremsen noch in Ordnung sind?  Oder daß ihm gesagt wird ,
 sie müssen natürlich immer einen Bremsfallschirm und einen Rettungsanker mitführen,
 falls die Bremsen versagen....


----------



## technofreak (15 August 2003)

http://www.heise.de/newsticker/data/jk-15.08.03-003/


			
				Heise schrieb:
			
		

> *Microsoft und der Wurm: "Da sind Fehler gemacht worden"*
> 
> Der Wurm W32.Blaster und seine Abkömmlinge ziehen immer noch ihre Kreise, auch die
> Gefahren etwa durch den im Wurm-Code vorgesehenen DDoS-Angriff auf Microsoft-Seiten
> ...


http://www.tagesschau.de/aktuell/meldungen/0,1185,OID2130500_NAVSPM1_REF1,00.html
Na so was bei M$ fängt man an zu denken, ist ja mal was ganz Neues   

Haben die eigentlich eine Vorstellung, was das für eine Verwirrung beim Otto/Ottilie Normalo verursacht?
Aus den Fragen aus meinem Umfeld erlebe ich aus erster Hand, was da für eine  Verunsicherung erzeugt wird :evil:

Und wenn mir etwas auf den Keks geht, ist es der Spruch "99% der Probleme eines Pcs sitzen vor dem PC"! 
Nach 30 Jahren Support gibt es für mich keinen Spruch, der  mehr an Arroganz und Überheblichkeit
 zeugt als dieser unsägliche Quatsch.  Der größte Teil aller Probleme liegt bei den falschen Konzepten
 und ihren miserablen Umsetzungen. Nicht der User ist für den PC da , sondern der PC für den User.
Wer mal im Medizinbereich programmiert hat, weiß wovon ich spreche!  Das erste was man mir 
eingebleut hat, wenn was schief geht ist nicht die MTA dran, sondern Sie! 
tf


----------



## Anonymous (15 August 2003)

*.*

Was soll die ganze Sch...  eigentlich immer ?
Wer macht sowas ?  Man man  - und immer ist Microsoft 
der loser


----------



## Anonymous (15 August 2003)

*Re: .*



			
				jj schrieb:
			
		

> Was soll die ganze Sch...  eigentlich immer ?
> Wer macht sowas ?  Man man  - und immer ist Microsoft
> der loser


ich verstehe den inhalt deines postings leider nicht so ganz. könntest du es bitte verständlicher ausdrücken?


----------



## Captain Picard (15 August 2003)

*Re: .*



			
				abc schrieb:
			
		

> ich verstehe den inhalt deines postings leider nicht so ganz. könntest du es bitte verständlicher ausdrücken?


Ich versteh´s auch nicht, das ist schon das dritte Postings dieses Gastes "jj" mit Nullinhalt.
Wahrscheinlich will er nur ein bißchen mosern....
cp


----------



## technofreak (19 August 2003)

http://www.heise.de/newsticker/data/pab-19.08.03-000/


> Die nächste Wurm-Welle rollt: Neue Sobig-Variante verbreitet sich rasant
> Während noch immer verschiedene RPC-Würmer wüten und sogar versuchen,
> Patches gegen sich selbst einzuspielen, ist schon ein neuer Wurm unterwegs: Sobig.F,
> eine Variante der bekannten Sobig-Würmer, kursiert seit wenigen Stunden im Internet
> und verbreitet sich extrem schnell.


http://securityresponse.symantec.com/avcenter/venc/data/[email protected]


> Due to the number of submissions received from customers, Symantec Security Response
> has upgraded this threat to a Category 3 from a Category 2 threat.


tf


----------



## Heiko (20 August 2003)

19.08.2003, 15.02 h:
Virus Outbreak Yellow Alert Global von TrendMicro


----------



## Anonymous (8 September 2003)

Seltsam: Ein weiteres Symptom dieses Virus scheint zu sein, dass der Inhalt des System32 Ordners ausgeblendet wird, und der McAfee Scanner hierdruch den Virus nicht mehr. Der Scanner rumpelte in wenigen Sekunden über das Verzeichnis ohne was zu tun oder zu finden.
Der Virus wurde dann manuell entfernt.


----------



## AmiRage (11 September 2003)

RPC-Dienst immer noch offen -- Microsoft bessert nach


----------



## technofreak (11 September 2003)

Den Download kann man wohl zur Zeit vergessen, mal sehen, wann man wieder drankommt...


----------



## AmiRage (11 September 2003)

technofreak schrieb:
			
		

> Den Download kann man wohl zur Zeit vergessen, mal sehen, wann man wieder drankommt...


   ... ich hab' gerade mit 40 kB/s (von MS) gezogen.


----------



## technofreak (11 September 2003)

AmiRage schrieb:
			
		

> technofreak schrieb:
> 
> 
> 
> ...



Glückwunsch , bei mir kommt nur die Sanduhr... (DSL)


----------



## Heiko (11 September 2003)

Das sind nur knapp 240 kb.
Ging grade per ISDN recht flott...


----------



## Anonymous (11 September 2003)

Heiko schrieb:
			
		

> Das sind nur knapp 240 kb.
> Ging grade per ISDN recht flott...


hmmm

```
File Name: Windows2000-KB824146-x86-ENU.exe
Download Size: 917 KB
```


```
File Name: WindowsXP-KB824146-x86-ENU.exe
Download Size:1508 KB
Date Published:9/10/2003
```
wo ist die 240 kB Version ?


----------



## Heiko (11 September 2003)

Ich hab hier Windows2k.
Vielleicht ist der Patch da kleiner...


----------



## technofreak (11 September 2003)

das war ich eben, die erste Version ist für W2K


----------



## Heiko (11 September 2003)

Frag mich nicht...

Mein Autoupdate sprach was von 238 kbyte oder so in der Größenordnung.


----------



## technofreak (11 September 2003)

Dann ist das wohl der "kumulative" Update, ich hab das nicht als Autoupdate aufgerufen...
als Nachtrag scheint das nicht einzeln aufrufbar zu sein

Der bisherige Patch heißt KB823980 (XP)

der neue KB824146 (XP) und der hat dann die 1,5 MB

und jetzt haben auch beide DownloadsXP/2K  mit 50kB/s geklappt


----------

