Wurm "Swen" tarnt sich als Microsoft-Patch
Kaspersky rechnet kurz nach dem Auftauchen bereits mit "zehntausenden Infektionen"

Von Martin Fiutak, DE Edit

Kaspersky Labs warnt vor einem neuen Wurm namens "Swen", der sich als Microsoft-Patch tarnt. Der digitale Übeltäter verbreitet sich laut den Antivirenspezialisten per Mail, dem Peer-to-Peer-Netzwerk Kazaa und IRC-Channels. "Infizierte Meldungen geben vor, von verschiedenen Microsoft-Diensten wie MS Technical Assistance oder Microsoft Internet Security Solution zu stammen", so die Warnung.

Im Text werde dem Anwender empfohlen, den beigefügten "speziellen Patch" von Microsoft zu installieren. Kaspersky Labs rechnet bislang mit "zehntausenden Swen-Infektionen" weltweit bei steigender Anzahl. Die Lücke, die Swen nützt, ist indes nicht neu: Es handelt sich um die im März 2001 entdeckte Schwachstelle des Internet Explorer, über die schon zahlreiche andere bekannt gewordene Würmer wie Klez in PCs eingedrungen sind.

Einmal auf einem ungeschützten Rechner aktiviert, verbreite sich Swen von selbst. Die neue Malware sei in Microsoft Visual C++ programmiert und 107 KByte groß. Der Wurm aktiviert sich nicht nur, wenn die infizierte Datei ausgeführt wird, sondern auch, wenn das E-Mail-Programm die Schwachstelle IFrame.FileDownload besitzt. Swen installiert sich dann selbständig in das System und vervielfältigt sich.

Sobald er aktiv wird, erscheint ein Fenster auf dem Bildschirm, das sich Microsoft Internet Update Pack nennt und die Installation eines Patches vortäuscht. "Gleichzeitig blockiert der bösartige Code sämtliche Firewall- und Anti-Virus-Software", so Kaspersky. Dann scanne Swen das Datei­system des infizierten Computers, extrahiere sämtliche E-Mail-Adressen und verschicke sich selbst an alle verfügbaren Adressen über eine direkte Verbind­ung zu einem SMTP-Server.

Copyright © 1997 - 2003 CNET Networks Deutschland GmbH bzw. CNET Networks Inc. Alle Rechte vorbehalten. Vervielfältigung im Ganzen oder in Teilen ist ohne ausdrückliche Genehmigung von CNET in jeglicher Form auf jedem Medium verboten. ZDNet und das ZDNet-Logo sind Warenzeichen der CNET Networks, Inc. ZDNet ist nicht verantwortlich für die Inhalte externer Websites.

19. September 2003, 08:30 Uhr

Infos zum Virus lovsan von WINLOAD.DE

Der Wurm befällt nur Rechner mit Windows NT4, 2000 und XP (Home und Professionell), auf denen der Microsoft-Patch MS03-026 noch nicht installiert ist. Die Abhandlung von WINLOAD.DE ist nach Ansicht des Webmasters günstiger: Die Erklärungen sind verständlicher und die Downloads einfacher zu finden als bei Microsoft.

Hier ist der Link mit einer (verständlichen) Beschreibung zur Erkennung und Beseitigung des Wurms und zur Download-Möglichkeit für den Microsoft-Patch MS03-026.

Sie können aber auch das nachstehende Original-Material von Microsoft durcharbeiten.



Microsoft Knowledge Base Article - 826986

W32.Blaster.Worm, auch genannt
W32/Lovsan.worm, WORM_MSBLAST.A, Win32.Posa.Worm

Die Informationen in diesem Artikel beziehen sich auf:

Problembeschreibung

Wenn Windows XP oder Windows Server 2003 mit dem W32.Blaster.Worm infiziert ist, rebootet Ihr Rechner immer wieder. Bei Windows NT4 und Windows 2000 wird der RPC-Dienst beendet. Auf Ihrer Festplatte finden Sie die Datei msblast.exe im Verzeichnis %systemroot%\system32.

Ursache

Dieser Wurm nützt eine Sicherheitslücke im RPC-Dienst aus. Microsoft Security Update MS03-026 schließt diese Lücke.

Lösung

ERSTMASSNAHME:
Nehmen Sie alle infizierten Rechner sofort vom Netz.

BEKÄMPFUNG DES WURMS:
Der Fix MS03-026 schützt davor, dass der Wurm W32.Blaster.Worm einen Rechner infiziert. Er hilft nicht, wenn der Rechner schon infiziert ist. Es gibt Softwarewerkzeuge, um den Wurm zu entfernen (siehe dazu die unten genannten Webseiten der Antiviren-Hersteller). Allerdings ist zu bedenken, dass diese Werkzeuge nur die schon bekannten Varianten entfernen. Es ist nicht ausgeschlossen, dass schnell weitere Varianten erscheinen, die bösartiger sind als der nun bekannte Wurm.

EMPFEHLUNG:
Alle Rechner, auf denen W32.Blaster.Worm gefunden wird, sollten neu installiert bzw. es sollte ein aktuelles Backup eingespielt werden. Nur wenn das nicht möglich ist, kann man das Entfernen des Wurms mit den oben genannten Tools erwägen. Dabei kann man nicht sicher sein, dass nicht doch noch eine neue Variante des Wurms auf dem System bleibt. Für Produktivserver empfehlen wir daher unbedingt das Einspielen des Backup. Sehen Sie dazu auch die allgemeinen Empfehlungen für den Umgang mit auf System-Level kompromittierten Servern: http://www.cert.org/tech_tips/root_compromise.html

SCHUTZMASSNAHMEN SOLANGE MS03-026 NICHT INSTALLIERT IST:
Für den Laien: Unter Windows XP aktivieren Sie die Internet Connection Firewall. Siehe dazu folgenden Artikel in der Microsoft Knowledge Base:

283673 SO WIRD'S GEMACHT: Internetverbindungsfirewall in Windows XP aktivieren oder deaktivieren

Für den versierten Benutzer: Blockieren Sie UDP und TCP 135, 139, 445. Außerdem UDP 69 und TCP 593 und 4444. Falls Sie Applikationen benützen, für die RPC für weitere Ports konfiguriert wurde, blockieren Sie auch diese.

Deaktivieren Sie DCOM.

Weitere Informationen

Die Antiviren-Unternehmen geben auf ihren Webseiten weitere Informationen über den Wurm, z.B.
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
http://www3.ca.com/virusinfo/virus.aspx?ID=36265

Modifiziert am:

12.08.2003

Suchbegriffe:

KB826986

 

Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

 

 

Microsoft warnt vor gefälschtem Security Bulletin

 

 

 Zurück zur Übersicht

Datum: 31. Juli 2003

Microsoft hat erfahren, dass ein böswilliger Benutzer E-Mails mit einem gefälschten Security Bulletin versendet.

Die E-Mail fordert die Empfänger auf, eine ausführbare Datei (.exe) von einer Webseite herunterzuladen. Falls Sie diese E-Mail erhalten, sollten Sie sie umgehend löschen und unter keinen Umständen die ausführbare Datei downloaden oder ausführen.

Bei der E-Mail handelt es sich angeblich um das Microsoft Security Bulletin MS01-037. Die darin beschriebene Sicherheitsanfälligkeit ist frei erfunden. Das gefälschte Bulletin enthält unter anderem einen Link zu einer Webseite, deren URL wie der einer Microsoft-Seite aussieht, dies allerdings nicht ist. Bei dem "Patch", der auf dieser Webseite zu finden ist, handelt es sich um gefährlichen Code, durch den der Angreifer die Möglichkeit erhalten kann, die Kontrolle über ein anderes System zu übernehmen.

Es gibt mehrere Hinweise, anhand derer Sie feststellen können, dass es sich bei diesem vermeintlichen Security Bulletin um eine Fälschung handelt:

  • Die E-Mail ist nicht mit der digitalen Signatur des Microsoft Security Response Center signiert: Das Microsoft Security Response Center signiert alle seine E-Mails vor dem Versand. Die Signatur können Sie anhand des auf dieser Webseite veröffentlichten Schlüssels überprüfen. Falls Sie jemals Zweifel hegen bezüglich einer E-Mail zu einem Security Bulletin, sehen Sie auf dem TechNet ServiceDesk nach. Hier werden immer alle tatsächlich von Microsoft veröffentlichten Bulletins aufgelistet.
  • Die E-Mail enthält einen Patch: Authentische E-Mails zu Security-Bulletins enthalten niemals den Patch selbst oder einen Link, der direkt zu dem Patch führt. Stattdessen verweisen sie die Leser auf die vollständige Version des Bulletins auf der Microsoft-Website. Dort finden Sie dann auch die Download-Adresse für den Patch. Weitere Informationen zu den Richtlinien, nach denen Microsoft Software verbreitet, finden Sie hier (englischsprachig).
  • Der in dem gefälschten Bulletin enthaltene Patch ist nicht digital von Microsoft signiert: Microsoft fügt allen Patches, die es veröffentlicht, digitale Signaturen an. Überprüfen Sie stets die Signatur jeder ausführbaren Datei, bevor Sie sie auf Ihrem System installieren.

Microsoft unternimmt energische Schritte, um Kunden vor diesem Problem zu schützen. Der Internet-Service-Provider, auf dessen Server der gefälschte Patch veröffentlicht wurde, wurde kontaktiert. Er hat den Patch bereits entfernt. Microsoft arbeitet zusätzlich mit Herstellern von Antiviren-Programmen zusammen, um sicherzustellen, dass aktuelle Viren-Scanner den gefährlichen Code erkennen und entfernen. Es ist dies nicht das erste – und sicher auch nicht das letzte – Mal, dass ein bösartiger Benutzer gefälschte Security Bulletins versendet. Microsoft empfiehlt seinen Kunden daher nachdrücklich, jede E-Mail zu überprüfen, die vorgibt, ein Microsoft Security Bulletin zu sein.

Hier finden Sie weitere Informationen zu gefälschten Sicherheits-E-Mails und zu den Richtlinien von Microsoft für die Verteilung von Software (englischsprachig).

 

 

Das Thema Sicherheit dringt immer tiefer in unser Bewusstsein. Das gilt für fast alle Bereiche des Lebens, vor allem aber, wenn es um die Datensicherheit Ihres Unternehmens geht, gilt es schnell und effektiv nötige Schutzmaßnahmen zu treffen.

Hier gewinnen Sie einen Überblick über die vielfältigen Schutzmöglichkeiten in den Bereichen "Prozesse und Technologien", "Desktopsicherheit" und "Server- und Applikationssicherheit". Beschreibungen erfolgreicher Strategien und Projekte wie auch technische Anweisungen und Whitepapers geben verständliche Antworten auf Fragen zur Sicherheit. Unter "Weitere Informationen" finden Sie darüber hinaus hilfreiche Services, um Gefahren erkennen und ihnen wirksam vorbeugen zu können.

Nutzen Sie auch den TechNet ServiceDesk. Dieser Bereich bietet Unterstützung bei technischen Fragen und weiterführende Links, die es Ihnen ermöglichen, Ihre Probleme rasch und effizient zu lösen. Im TechNet Servicedesk werden zudem die aktuellen Sicherheitsmeldungen (Security Bulletins) zu Microsoft-Produkten in deutscher Übersetzung veröffentlicht.

Die Microsoft Security Box

IT-Sicherheit und Trustworthy Computing auf einen Blick.
Sie können nun eine neue und noch größere Sammlung von interessanten Dokumenten und Broschüren, Software-Testversionen und Tools auf CD und einem ganz besonderen Hardware-Angebot bestellen: Die Microsoft Security Box , der Nachfolger des alphaSET Security.
Weitere Informationen finden Sie hier.

Aktuell

Wichtiger Hinweis für Windows-Benutzer - lesen Sie das Security Bulletin MS03-026 und installieren Sie umgehend den zugehörigen Patch.
Kongress-Messe „communicate!" in Köln - IT und Telekommunikation: Lösungen für den Mittelstand.
Virenwarnung des Microsoft PSS Security Response Team vom 19. Mai 2003 - neuer Internetwurm W32/Palyh@MM verbreitet sich per E-Mail und über Netzwerklaufwerke.
Virenwarnung vom 12. Mai 2003 - neuer Internetwurm W32.Fizzer.A@mm verbreitet sich per E-Mail.
Microsoft warnt vor gefälschten Sicherheits-E-Mails - Patches oder Updates werden nie als Anhänge verschickt.
SQL Server Wurm „SQL Slammer" - lesen Sie die Trustworthy Computing-Sicherheitsinformationen.
Nachlese TechNet Security Roadshow - alle Roadshow-Präsentationen kostenfrei zum Download.