https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=BlasterBlaster - Versionsgeschichte2026-05-27T19:26:26ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Blaster&diff=786625&oldid=prev92.116.189.225: Wurde gelöscht2023-11-12T15:57:48Z<p>Wurde gelöscht</p>
<p><b>Neue Seite</b></p><div>{{Infobox Computerwurm<br />
| Name = Blaster<br />
| Aliase = Lovesan, MSBlast<br />
| Veröffentlichung = 2003<br />
| Herkunft = <br />
| Typ = Netzwerkwurm<br />
| Subtyp = <br />
| Autoren = <br />
| Dateigröße = <br />
| Speicherresident = <br />
| Verbreitung = Exploit im RPC/DCOM-Dienst<br />
| System = Windows NT 4.0, 2000, XP, 2003<br />
| Programmiersprache = C<br />
| Info = <br />
}}<br />
'''Blaster''', auch '''Lovsan''' oder '''MSBlast''' genannt,<ref name="symantec info">{{Internetquelle |url=https://www.symantec.com/de/de/security-center/writeup/2003-081113-0229-99 |titel=Symantec: W32.Blaster.Worm |sprache=en |abruf=2018-09-01}}</ref> ist ein [[Computerwurm]] aus dem Jahre 2003, der sich durch Ausnutzung einer [[Sicherheitslücke]] in der [[Remote Procedure Call|RPC]]-Schnittstelle von [[Microsoft Windows]] verbreitet. Die Verbreitung fand vorrangig auf den Betriebssystemen [[Microsoft Windows NT 4.0]], [[Microsoft Windows 2000|Windows 2000]], [[Microsoft Windows XP|XP]] und Windows Server 2003 über den [[Transmission Control Protocol|TCP]]-[[Port (Protokoll)|Port]] 135 statt.<ref>{{Internetquelle |url=https://support.microsoft.com/en-gb/help/823980/ms03-026-buffer-overrun-in-rpc-may-allow-code-execution |titel=MS03-026: Buffer Overrun in RPC May Allow Code Execution |sprache=en |abruf=2018-09-01}}</ref><ref name="cert 99">{{Internetquelle |url=https://resources.sei.cmu.edu/asset_files/WhitePaper/2003_019_001_496200.pdf#page=99 |titel=2003 CERT Advisories Page 99 |format=PDF |sprache=en |abruf=2018-09-01}}</ref><br />
<br />
Im Spätsommer 2003 verursachte Blaster mit [[Denial of Service|DDoS]]-Angriffen enorme Schäden, die sich zu geschätzt 320 Millionen US-Dollar summierten. Der Code des Wurms enthielt neben einer Nachricht an [[Bill Gates]] auch den Text “<code>I just want to say LOVE YOU SAN!</code>”, von dem sein Alias-Name abgeleitet wurde. Knapp einen Monat später übertrafen die [[Sobig.F|Sobig-Würmer]] den durch Blaster verursachten Schaden um das 150-fache.<br />
<br />
== Geschichte ==<br />
[[Datei:Virus Blaster.jpg|mini|325px|[[Hexdump]] des '''Blaster Wurms''', zeigt eine Nachricht vom Wurm-Programmierer an den damaligen [[Microsoft]]-[[CEO]] [[Bill Gates]]]]<br />
Blaster ist eine [[EXE]]-Datei. Die Verbreitung des Wurmes begann Anfang April 2003 durch eine Lücke im RPC/DCOM-Dienst, die es erlaubt Code auszuführen.<br />
<br />
Der Wurm sollte ab 16. August 2003 bis zum 31. Dezember 2003 einen [[Denial of Service|Distributed-Denial-of-Service]]-Angriff auf die Updateseiten der Firma [[Microsoft]] durchführen, auf denen auch der [[Patch (Software)|Patch]] für die Sicherheitslücke lagert.<ref name="cert 99" /><ref>{{Internetquelle |url=https://www.infoworld.com/article/2677291/security/blaster-worm-spreading--experts-warn-of-attack.html?page=2 |titel=Blaster worm spreading, experts warn of attack |datum=2003-08-12 |sprache=en |abruf=2018-09-01}}</ref><ref name="heise blaster angriff">{{Internetquelle |url=https://www.heise.de/newsticker/meldung/Alle-Schotten-dicht-W32-Blaster-greift-an-83631.html |titel=Alle Schotten dicht -- W32.Blaster greift an |datum=2003-08-12 |abruf=2019-05-27}}</ref><br />
<br />
Kurz nach der Entdeckung des Wurmes wurde bekannt, dass nicht nur Windows-Systeme, sondern auch andere Systeme angreifbar waren. So können, laut dem [[Computer Emergency Response Team|CERT]] auch Systeme zur Zielscheibe eines Angriffs werden, bei denen der Port 135 geöffnet ist. Für einen erfolgreichen Angriff wird allerdings vorausgesetzt, dass ein [[Distributed Computing Environment]] auf Basis der Entwicklungen der [[Open Software Foundation]] installiert ist.<ref>{{Internetquelle |url=https://www.heise.de/newsticker/meldung/W32-Blaster-attackiert-auch-Nicht-Windows-Systeme-83737.html |titel=W32.Blaster attackiert auch Nicht-Windows-Systeme |datum=2003-08-13 |abruf=2019-05-27}}</ref><ref>{{Internetquelle |url=https://www.kb.cert.org/vuls/id/377804/ |titel=Multiple Open Software Foundation Distributed Computing Environment (DCE) implementations vulnerable to DoS |datum=2003-08-08 |sprache=en |abruf=2019-05-27}}</ref><br />
<br />
Der Wurm konnte bei einem Angriff allerdings nicht erkennen, ob er einen Rechner angreift, der bereits befallen war. Diese Eigenschaft bremste die Verbreitung rasant ein, da er auch versuchte, bereits befallene Systeme anzugreifen und zum Absturz zu bringen. Erst im Anschluss prüfte der Wurm, ob er sich bereits auf dem System befand, das erkannte er an der Existenz der ''msblast.exe''-Datei auf der Festplatte.<ref name="heise blaster angriff" /><br />
<br />
Trotz des Schutzes von Unternehmensnetzen durch Firewalls gelang es dem Wurm, auch in Firmennetze einzudringen. Es wird vermutet, dass das durch bereits infizierte Laptops einiger Mitarbeiter geschehen ist, also vorbei an jeder Firewall oder [[Intrusion Detection System]].<br />
Um Privatanwender vor dem Wurm zu schützen, sperrten einige [[Internet Service Provider]] Verbindungen über den Port 135, das schützte allerdings nur vor W32.Blaster und war kein genereller Schutz gegen die Sicherheitslücke.<ref>{{Internetquelle |url=https://www.heise.de/newsticker/meldung/W32-Blaster-befaellt-Hunderttausende-von-PCs-83689.html |titel=W32.Blaster befällt Hunderttausende von PCs |datum=2003-08-13 |abruf=2019-05-27}}</ref><br />
<br />
Am 12. Mai 2004 wurde der Autor einer Version des Wurmes, Jeffrey Lee Parson aus [[Hopkins (Minnesota)|Hopkins]], [[Minnesota]], festgenommen und im Januar 2005 zu einer achtzehnmonatigen Haftstrafe verurteilt.<ref>{{Internetquelle |url=https://www.infoworld.com/article/2643777/techology-business/blaster-worm-author-gets-jail-time.html |titel=Blaster worm author gets jail time |datum=2005-01-28 |sprache=en |abruf=2018-09-01}}</ref><ref>{{Internetquelle |url=http://news.minnesota.publicradio.org/features/2005/01/28_ap_blastersentenced/ |titel=Minnesota teen sentenced for releasing Blaster worm variant |datum=2005-01-28 |sprache=en |abruf=2018-09-01}}</ref><ref>[https://www.infoworld.com/article/2643777/techology-business/blaster-worm-author-gets-jail-time.html infoworld.com]</ref><br />
<br />
== Sicherheitslücke ==<br />
Möglich macht die Verbreitung des Wurmes eine Sicherheitslücke im RPC/DCOM-Dienst. Dabei wird ein manipuliertes Paket an den von [[Remote Procedure Call|RPC]] genutzten Port 135 geschickt. Dieses Paket löst einen sogenannten [[Buffer Overflow]] aus und überschreibt dabei Teile des [[Stapelspeicher]]s, dabei kann Code in das System eingeschleust werden, der anschließend ausgeführt werden kann und so ein System infizieren kann.<br />
<br />
Kritisch ist die Schwachstelle vor allem dadurch, dass man den Port 135, wenn überhaupt, nur sehr schwer schließen kann. Ein Abschalten des RPC-Dienst kann dazu führen, dass wichtige Teile des Systems nicht mehr funktionieren. Als einziger Schutz helfe nur, den von Microsoft bereitgestellten Patch einzuspielen, oder eine [[Firewall]] zu benutzen, die Zugriffe auf diesen Port verhindert.<ref>{{Internetquelle |url=https://www.heise.de/newsticker/meldung/Fehler-in-Windows-gefaehrdet-Internet-PCs-82287.html |titel=Fehler in Windows gefährdet Internet-PCs |datum=2003-07-17 |abruf=2019-05-27}}</ref><br />
<br />
== Funktionsweise ==<br />
# Der Angreifer startet einen [[Trivial File Transfer Protocol|TFTP]]-Server, um so den Wurm auf den Computer einzuschleusen.<br />
# Eine Verbindung zwischen dem Angreifer und seinem Opfer wird auf dem TCP-Port 135 hergestellt.<ref name="cert 99" /><br />
# Eine Shell wird auf dem Opfer hergestellt, welche auf den TCP-Port 4444 lauscht.<ref name="symantec info" /><br />
# Der Angreifer führt einen Befehl über die Shell aus, um das Opfer zu veranlassen, den Wurm zu installieren.<ref name="symantec info" /><br />
# Der Angreifer beendet die Verbindung zur Shell des Opfers, anschließend stoppt die Shell das Lauschen auf dem TCP-Port 4444 des Opfers.<br />
# Das Opfer startet einen TFTP-Server und Prozesse anderer Anweisungen (z.&nbsp;B. zur Änderung der Registrierungsschlüssel usw.).<br />
<br />
== Identifizierung eines Wurmbefalls ==<br />
Bei der ersten Version des Wurms war eine Infektion unter anderem dadurch zu erkennen, dass sich eine Datei namens <code>msblast.exe</code> im Verzeichnis <code>%WinDir%\System32</code> befand.<br />
Bei späteren Versionen wurde er allerdings immer an einem offenen TFTP-Server auf dem UDP-Port 69 erkannt, der auf eingehende Verbindungen wartete. Darüber hinaus öffnete der Wurm 20 verschiedene TCP-Ports im Portbereich 2500 bis 2522, auf denen versucht wird, Verbindungen zu anderen Systemen aufzubauen.<ref name="heise blaster angriff" /><br />
<br />
Außerdem wurden folgende [[Registrierungsdatenbank|Registry]]-Keys hinzugefügt:<ref name="heise blaster angriff" /><br />
<pre><br />
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe<br />
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill<br />
</pre><br />
<br />
== Varianten ==<br />
In der Folge trat der Wurm in zahlreichen Varianten auf; einige von ihnen kombinieren den Wurm mit [[Trojanisches Pferd (Computerprogramm)|Trojanischen Pferden]].<br />
<br />
Diese Entwicklung stellt auch eine direkte Bedrohung für die Systemsicherheit dar, da der Wurm sich nicht mehr auf die Verbreitung beschränkt, sondern die Systeme für einen künftigen Angriff vorbereitet.<br />
<br />
Von Blaster existieren sechs Varianten:<br />
* Variante A<br />
* Variante B, bei dem die Wurmdatei in „penis32.exe“ umbenannt wurde<ref name="cert 100">{{Internetquelle |url=https://resources.sei.cmu.edu/asset_files/WhitePaper/2003_019_001_496200.pdf#page=100 |titel=2003 CERT Advisories Page 100 |format=PDF |sprache=en |abruf=2018-09-01}}</ref><br />
* Variante C, bei dem die Wurmdatei in „teekids.exe“ umbenannt wurde<ref name="cert 100" /><br />
* Variante D in Kombination mit dem Trojaner ''BKDR_LITH.103.A'', der eine [[Backdoor]] installiert<br />
* Variante E trägt unter anderem die Bezeichnungen ''Nachi'', ''Welchia'' und ''Lovsan.D''. Der Schädling sucht auch auf dem [[Transmission Control Protocol|TCP]]-[[Port (Protokoll)|Port]] 135 nach verwundbaren Windows-Systemen im Internet. Alternativ sendet der Wurm Daten über den TCP-Port 80, um das im März 2003 entdeckte WebDAV-Sicherheitsloch zur Verbreitung zu nutzen. Über das [[Remote Procedure Call|RPC]]-Leck greift der Wurm nur Maschinen mit Windows XP an, während über die WebDAV-Lücke sowohl Systeme mit Windows 2000 als auch XP attackiert werden. Zu erkennen ist er an massiv vielen [[Internet Control Message Protocol|ICMP]]-[[Flooding (Informatik)|Floodings]] im lokalen Netz.<br />
* Variante G<br />
<br />
== Weblinks ==<br />
* [http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=de Blaster: Sicherheitsupdate für Windows XP]<br />
* [https://www.heise.de/security/meldung/W32-Blaster-Wurm-Fix-zum-Download-83847.html Programme zur Entfernung des W32.Blaster]<br />
* [https://www.heise.de/security/meldung/Microsoft-laesst-Angriff-von-Lovsan-W32-Blaster-ins-Leere-laufen-83853.html Microsoft lässt Angriff von Lovsan/W32.Blaster ins Leere laufen]<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Schadprogramm]]<br />
[[Kategorie:Computerwurm]]</div>92.116.189.225