Bei Spiegel.de ist heute folgendes zum Thema zu lesen:
WURM IM WEB

Der Großangriff auf das Internet hat begonnen

Die Hacker-Attacke auf das Internet, vor der US-Behörden seit Ende Juli warnen, hat offenbar begonnen: Das Virus "Blaster" alias "LovSan" verbreitet sich rasend und bereitet eine gigantische DoS-Attacke vor. Ziel des Angriffes: Microsoft.

Am 16. Juli sah sich Microsoft wieder einmal gezwungen, die Hosen herunter zu lassen: Eindringlich warnte das US-Unternehmen vor den klaffenden Sicherheitslücken in der eigenen Software. Sowas ist zwar peinlich, andererseits aber auch nicht ungewöhnlich. Wer Microsofts Newsletter abonniert hat, bekommt regelmäßig entsprechende Warn-Post - und in aller Regel passiert dann ja doch herzlich wenig.
Wie auch das aktuelle Beispiel - zumindest bisher - zeigte. Obwohl die gefürchtete Lücke im "Windows RPC Interface" seit einem Monat bekannt war und zudem das FBI lautstark Werbung dafür machte, war es bisher zu keinem ernsthaften Versuch gekommen, das offene Scheunentor für eine Attacke zu nutzen.

Bis gestern Nacht. Da begann ein Viren-Wurm um die Welt zu ziehen, an den man sich am Microsoft-Firmensitz in Seattle möglicherweise länger erinnern wird. "Blaster", von einigen IT-Sicherheitsfirmen auch "LovSan" oder "LovGate" genannt, zielt haarscharf auf die RPC-Sicherheitslücke und belässt es auch nicht bei der Viren-typischen Selbstvermehrung. "Der Wurm ist geradezu explodiert", sagte der Karlsruher Sicherheits- und Virenexperte Christoph Fischer.

Blaster will etwas, und zwar von Microsoft.

Microsoft hingegen will, dass die User das Sicherheitspatch gegen die RPC-Sicherheitslücke installieren, so lange das noch geht. Denn Blaster will das gern unterbinden: Das Virus schließt einige Ports der befallenen PCs, öffnet etliche andere und bereitet eine Denial-of-Service-Attacke vor, die sich gewaschen hätte, wenn sie gelingt. Vom 15. August bis zum 31. Dezember planen die Blaster-Autoren, Microsoft unter Dauerfeuer zu nehmen. Zielpunkt der Attacke: Die Update-Seiten, über die man unter anderem die Sicherheitsloch-Flicken beziehen kann, die die Attacke vielleicht noch verhindern könnten.

Botschaft im Code des Blaster-Wurmes:
"Billy Gates why do you make this possible? Stop making money and fix your software!"

Zehntausende von Rechnern, melden Sophos und Symantec, seien schon befallen. Die aktuellen Viren-Top-10 von Trend Micro zeigen LoveSan als weltweit meistverbreitetes Virus: In den USA gehen über 90 Prozent aller Virenbefälle auf seine Kappe - und das nach nur wenigen Stunden. Viele Computer-Nutzer werden einen Angriff nicht sofort bemerken, da sich der Wurm nicht über E-Mail verbreitet. Neben dem aktuellen Microsoft-Flicken brauche man deshalb auch dringend ein Update des Virenscanners. Einige der IT-Sicherheitsunternehmen haben bereits Tools bereit gestellt, mit denen sich Blaster/LoveSan entfernen lässt.

Die Blaster-Attacke: Auftakt einer Angriffswelle?

Die Hauptrisikogruppe - neben Microsoft selbst - hat IT-Sicherheitsexperte Fischer auch schon ausgemacht: "Besonders betroffen sind Privatleute und kleine Unternehmen, die etwa über Modem oder DSL- Leitung ans Internet angeschlossen sind." Zwar zerstöre Blaster zunächst keine Daten auf den befallenen Rechnern. Der Wurm könne aber zu unkontrollierbaren Abstürzen führen, warnt das Bundesamt für Sicherheit in der Informationstechnik BSI.

Wichtiger noch ist aber, dass Blaster ganz nebenbei einige Ports als Hintertürchen offen hält, was prinzipiell die völlige Fernsteuerung des Heimrechners ermöglichen würde. Genau darum geht es anscheinend auch: Die Ports verbleiben im "Listen"-Modus, warten also auf Befehle.

Nicht nur deshalb erwartet Alfred Huger, Virenexperte bei Symantec, dass die Blaster-Attacke erst der Beginn eines rauen Rittes auf der RPC-Sicherheitslücke darstellt. Blaster sei "sehr leicht zu entpacken und zu verändern". Irgendein Online-Vandale werde da schon sicherstellen, dass keine Langeweile aufkommt: "Ich glaube, es ist hoch wahrscheinlich, dass dieses Virus verändert und wieder in Umlauf gebracht wird. Wenn nicht heute, dann im Laufe der Woche".

Ansatzpunkte finden die Virenschreiber stets genug: Neben den offen Ports der bereits befallenen Rechner bieten sich weiterhin die bekannten Sicherheitslücken von Windows an, die von zu vielen Nutzern nicht rechtzeitig geflickt werden.

Doch selbst wenn, bedeutet das keinen völligen Schutz: Auch das aktuellste Microsoft-Sicherheitspatch schließt nicht alle bereits bekannten Sicherheitslücken. Neben dem durch den Flicken behebbaren Leck im RPC-Dienst klafft da nämlich noch ein Löchlein - am gleichen Orte, knapp neben dem Flicken: Das wird dann wohl beim nächsten Update gestopft. Bis dahin, rät Heise, sollte man ein Auge auf die UDP- und TCP-Ports 135 bis 139 sowie 445 und 593 halten: Dort findet man den Hintereingang für ungebetene Besucher.

Frank Patalong
Viele Grüße
wu-chi

PS: Bei mir scheint nun wieder alles in Ordnung zu sein.