Experten befürchten Blaster-ähnlichen Virenangriff

Exploit für IIS-Lücke bereits in Umlauf

Experten befürchten, dass eine neue Wurmattacke unmittelbar bevorstehen könnte. Eine Lücke im „Local Security Authority Service“ von Windows ermögliche es Angreifern, einen Blaster-ähnlichen Angriff zu starten. Wie beim Blaster-Wurm wären auch dieses Mal nur Rechner in Gefahr, die nicht mit einem bereits verfügbaren Patch ausgestattet sind.

Da viele Nutzer ihre Rechner nicht regelmäßig patchen und auch keine Firewall einsetzen, bestehe die Gefahr einer erneuten Epidemie. Zwar sei bislang kein entsprechender Wurm aufgetaucht, Auswertungen von Firewalls hätten jedoch ergeben, dass Rechner bereits auf das Vorhandensein der Lücke gescannt werden. MS Blaster hat im vergangenen Jahr nach neuesten Erkenntnissen bis zu 16 Millionen Rechner weltweit infiziert.

Eine weitere Sicherheitslücke ist im PCT-Feature des Microsoft Internet Information Server aufgetaucht. Zwar sei bereits ein Exploit in Umlauf, das durch den Wurm verursachte Datenvolumen habe aber bislang nicht den Stand erreicht, der bei anderen Schädlingen zu verzeichnen war. „Wir würden es noch nicht als Wurm bezeichnen, aber einige Unternehmen haben bereits Bekanntschaft mit dem Schädling gemacht“, so Johannes Ullrich von Internet Storm Center.

Stephen Toulouse vom Microsoft Security Response Center ging jedoch etwas weiter: „Wir haben gesehen, dass innerhalb weniger Minuten ganze IIS-Serverfarmen lahmgelegt wurden.“

Insbesondere Webserver, die SSL-Verschlüsselung nutzen, seien in Gefahr. Diese werden meistens als Basis für E-Commerce-Applikationen genutzt. Dadurch ist das Schadenspotential besonders hoch.

Wie so häufig in letzter Zeit empfiehlt Microsoft seinen Kunden auch dieses Mal, zur Verfügung stehende Updates so früh wie möglich zu installieren. Informationen über die Sicherheitslücken sowie entsprechende Patches seien entweder über Windows Update oder Microsofts Website erhältlich.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

6 Kommentare zu Experten befürchten Blaster-ähnlichen Virenangriff

Kommentar hinzufügen
  • Am 1. Mai 2004 um 20:13 von lukas

    Lass wurm
    ich habe diese neuartige form von dem msblaster virus bereits auf meinem rechner und weis nicht wie ich ihn wegbringen soll.
    könnten sie mir eventuell ein removal tool senden.
    sobald ich ins internet einsteige, erscheint ein fenster und der computer startet sich nach einer minute neu.
    dringende hilfe erbeten
    mfg

  • Am 3. Mai 2004 um 0:04 von Markus

    lsass
    der "wurm" heißt nicht "lass", und es ist auch nicht unbedingt ein wurm. die symptome stimmen allerdings.
    wahrscheinlicher ist, daß es ein trojaner ist, der sich über die datei "lsass.exe" im Windows system32 direktory bei einer IP adresse meldet. leider darf man nicht nachverfolgen, bei welcher, und eine lösung hab ich leider auch nicht. seitdem ich die windowsinterne firewall aktiviert habe passiert nichts mehr, aber das is ja auch keine wirkliche lösung…

  • Am 3. Mai 2004 um 2:35 von H.D.

    worm sasser.b
    hallo
    sehr wahrscheinlich handelt es sich bei dem beschriebenen befall um den worm sasser.b er wird derzeit noch von den meisten AV´s und Firewalls nicht erkannt auch hat ms noch nicht´s wirksammes dagegen
    hilfreich ist dieser link
    http://www.firewallinfo.de/index.php?option=content&task=view&id=2151&Itemid=
    und auch
    http://de.trendmicro-europe.com/enterprise/products/housecall.php
    letzteres ist ein zuverlässiges onlinetool das den schädling sicher entfernt
    der schädling kommt im übrigen per mail und keiner merkt es !!!
    ich hoffe das ich hirmit vielen usern helfen konnte
    grüßli H.D.

  • Am 3. Mai 2004 um 3:02 von H.D.

    teil 2
    http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

    unter dem link befindet sich ein onlinescanner der sicher den worm sasser.b entfernt
    einfach noch das land auswählen und starten
    viel glück

  • Am 3. Mai 2004 um 20:16 von Andrea Jürges

    worm sasser
    @H.D.
    bei mir kam der I-Wurm definitiv nicht per Mail! Er tauchte tatsächlich zum ersten Mal am Sonntag nachmittag bei einer Online-Verbindung auf. Mein Virenscanner hat das Teil – natürlich erst nach einem Update auf die neueste Scan-Version – gefunden und teilweise selber eliminiert. Eine Datei mußte ich manuell entfernen. Dann war Ruhe, bis heute abend, wieder eine Online-Verbindung und prompt die Meldung des Wurms, daß das System heruntergefahren wird. Das Teil kommt in der Tat über Internet-Verbindungen, nicht per Mail!
    Gruß
    Andrea

  • Am 3. Mai 2004 um 21:08 von emu99

    Info zum Entfernen
    Das Infizieren kann bereits durch eine reine Verbindung ins Internet oder in einem Netzwerk vonstatten gehen (bei ungepatchten Maschinen)

    Wenn der Rechner herunter fährt (60 sek) kann man in der Eingabeaufforderung (Start-Ausführen)folgendes eingeben, um das Herunterfahren abzubrechen:
    shutdown /a

    Anschliessend Taskmanagaer öffnen und Prozesse wie avserve.exe, avserve2.exe oder *_up.exe beenden (bei *_up.exe können z.B. 22331_up.exe heissen)
    Die avserve2.exe steht im c:windows-Verzeichnis, diese löschen nachdem der Prozess beendet wurde, die *_up.exe stehen im c:windowssystem32-Verzeichnis.
    Bei Symantec kann unter dem Link
    http://securityresponse.symantec.com/avcenter/FxSasser.exe ein Tool zum Entferner herunter geladen werden.
    und falls der shutdown in der Zeischenzeit kommt, einfach shutdown /a in der Eingabeaufforderung eingeben.
    Das Tool löscht die Dateien auf der Platte und die Einträge in der Registry

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *