Abebooks.de - Antiquarische und gebrauchte Bücher
Lesezeichen setzen | Seite empfehlen
   Navigation

 Zur Startseite

 Zufälliger Artikel

 Impressum
   Verwandte Artikel

 Betriebssysteme

 Entwicklung

 Erkennung

 Implementierung

 Informationen

 Kombination

 Microsoft

 Mutationen

 Verbindung

 Windows

   
    
      

A B C D E F
G H I J K L
M N O P Q R
S T U V W X
Y Z


eXTReMe Tracker
  

 W32.Blaster - Definition und Bedeutung

Sie haben im Ilexikon erfolgreich nach der Definition, der Bedeutung oder Informationen zum Begriff 'W32.Blaster' gesucht. Hier finden Sie eine Beschreibung, Erklärung, Definition, die Bedeutung sowie viele aktuelle Infos zum Begriff 'W32.Blaster' und damit verwandten Themen.

W32.Blaster (auch: W32.Lovsan und MSBlast) ist ein Computerwurm, der sich durch Ausnutzung einer Sicherheitslücke in der RPC-Schnittstelle von Microsoft Windows verbreitet. Der Wurm verbreitet sich ausschließlich über die Betriebssysteme Windows 2000, XP und den Windows Server 2003 über den TCP-Port 135. Das Distributed Computing Environment (DCE), das auf einer Vielzahl verschiedener Betriebssysteme installiert sein kann, verwendet ebenso RPCs über Port 135. In Folge einer Schwachstelle in der Implementierung einiger Hersteller kann auf manchen Plattformen der DCE-Dienst zum Absturz gebracht werden.
Der Wurm kann allerdings bei einem Angriff nicht erkennen ob das Angriffsziel schon befallen ist. Er bremst sich deshalb in der Verbreitung selbst aus, da er ebenso schon befallene Windows-Rechner zum Absturz bringt. Erst wenn der Angriff siegreich war, wird überprüft ob die Datei msblast.exe schon auf der Festplatte vorhanden ist.
Der Wurm sollte am 16. August 2003 einen Distributed Denial of Service-Angriff auf die Updateseiten der Firma Microsoft durchführen, auf denen ebenso der Patch für die Sicherheitslücke lagert.
Inhaltsverzeichnis
1 Mutationen
2 Erkennung
3 Funktionsweise
4 Weblinks

 1 Mutationen

Mittlerweile tritt der Wurm ebenso in zahlreichen Mutationen auf. Eine dieser Mutationen kombiniert den Virus mit einem Trojanischen Pferd.
Diese Entwicklung stellt mittlerweile ebenso eine direkte Bedrohung für die Systemsicherheit der Anwender dar, da der Wurm sich nicht mehr auf die Verbreitung beschränkt, sondern die Systeme der Nutzer für einen zukünftigen Angriff präpariert.
Der Wurm tritt mittlerweile in fünf Varianten auf:
· Variante A
· Variante B, bei dem die Wurmdatei in "penis32.exe" umbenannt wurde
· Variante C, bei dem die Wurmdatei in "teekids.exe" umbenannt wurde
· Variante C in Kombination mit dem Trojaner BKDR_LITH.103.A, der eine Backdoor installiert.
· Variante D, trägt unter anderem die Bezeichnungen Nachi, Welchia und Lovsan.D. Der Schädling sucht ebenso auf dem TCP-Port 135 nach verwundbaren Windows-Systemen im Internet. Alternativ sendet der Wurm Daten über den TCP-Port80, um das im März 2003 entdeckte WebDAV-Sicherheitsloch zur Verbreitung zu nutzen. Ãœber das RPC-Leck greift der Wurm nur Maschinen mit Windows XP an, während über die WebDAV-Lücke wie auch Systeme mit Windows 2000 als ebenso XP attackiert werden. Zu erkennen ist er an massiv vielen ICMP-Floodings im lokalen Netz.

 2 Erkennung

Eine Infektion durch W32.Blaster lässt sich folgendermaßen erkennen:
·  Links unten auf "Start" klicken,
·  dann auf "Suchen"
·  und jetzt auf "Nach Dateien und Ordnern".
·  Dann nach "msblast.exe" suchen.
·  Nach "penis32.exe" suchen.
·  Nach "teekids.exe" suchen.
Findet der Rechner einer der Dateien, ist der Computer infiziert.

 2.1 Erkennung für Fortgeschrittene

Wenn das Dateisystem sehr groß ist, dann dauert es vielleicht etwas zu lange, alle Festplatten zu durchsuchen.
In diesem Fall kann der Befall ebenso in der Registry an den folgenden Schlüsseln erkannt werden:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Bei den Varianten B und C des Virus findet sich hier statt "msblast.exe" die Dateien "penis.exe" oder "teekids.exe" sowie ein etwas anderer Text.
W32.Blaster macht sich ebenso durch Abstürze des Rechners bemerkbar, die von der Meldung "Windows muss jetzt neu gestartet werden, da der Dienst Remoteprozedurablauf unerwartet beendet wurde." begleitet werden.

 3 Funktionsweise

·  Der Angreifer lässt einen TFTP Server laufen um den Wurm einzuschleusen.
·  Eine Verbindung wird unter dem Angreifer und seinem Opfer auf dem TCP-Port 135 hergestellt
·  Eine Shell wird auf dem Opfer hergestellt, welche auf den TCP-Port 4444 lauscht
·  Der Angreifer führt einen Befehl über die Shell aus um das Opfer zu veranlassen den Wurm zu installieren
·  Der Angreifer beendet die Verbindung zur Shell des Opfers, anschließend stoppt die Shell das Lauschen auf dem TCP-Port 4444 des Opfers
·  Das Opfer startet einen TFTP Server und Prozesse anderer Anweisungen (z.B. zur Änderung der Registrierungsschlüssel, etc...)
Siehe ebenso: Computervirus, Computerwurm, Netzwerksicherheit, Liste von Computerviren
Infos zu Ilexikon.com
Wir hoffen dass Sie alle gewünschten Informationen zum Begriff 'W32.Blaster' gefunden haben. Alle Informationen zur Definition des Begriffs W32.Blaster und zur Bedeutung des Wortes W32.Blaster werden Ihnen kostenlos bereitgestellt. Unser Traffic und unsere Programmierarbeit finanziert sich ausschließlich durch Werbeeinnahmen. Wir danken für Ihren Besuch und hoffen dass Sie unser Portal zusätzlichempfehlen.

 Weiteres zu dem Artikel


Sie möchten die Besucher Ihrer Internet-Seite auf weiterführende Definitionen und Informationen zum
Thema "W32.Blaster" aufmerksam machen? Dann platzieren Sie doch einfach folgenden Link auf Ihre Homepage:

<a href="http://www.ilexikon.com/W32.Blaster.html" title="Definition und Informationen zu dem Thema W32.Blaster">W32.Blaster</a>
 
Dieser Artikel basiert auf dem Artikel W32.Blaster aus der freien Enzyklopädie Wikipedia und steht unter der GNU-Lizenz für freie Inhalte. In der Wikipedia ist eine Autorenauflistung verfügbar.