News : W32.Blaster - Jetzt kommen die Nachfolger

, 44 Kommentare

Mittlerweile sind die ersten Daten über die Verbreitung des W32.Blaster bekannt, der seit einigen Tagen sein Unwesen treibt. Die Verbreitung, die weiter fortläuft, ist jedoch nicht so dramatisch, wie anfänglich erwartet werden musste.

Symantec nennt 127.000 bisher weltweit infizierte Rechner. Auf stolze 1,4 Millionen befallene Systeme kommt man bei CERT/CC. Dieser große Unterschied ist vor allem durch eine unterschiedliche Zählweise der IP-Adressen zu begründen, von denen die für den Wurm typischen Verbindungen ausgehen. Es ist jedoch davon auszugehen, dass sich die tatsächliche Zahl eher am unteren Ende der beiden Werte befindet, da sich der Wurm langsamer verbeitet als beispielsweise Code Red oder SQL-Slammer seinerzeit. Zudem wurde der Wurm schlecht programmiert und erfüllt so nicht auf jedem System seinen eigentlichen Zweck. So beschränken sich die Folgen des Wurms bisher größtenteils auf ein erhöhtes Datenaufkommen. Am stärksten Betroffen sind Privatanwender, die über keine Firewall oder Router verfügen und dem Angriff so fast schutzlos ausgeliefert waren. Unternehmen wurden nur im Einzelfall betroffen, da sie meistens durch wirkungsvolle Firewalls und Intrusion Detection Systeme geschützt sind. Auch die Provider haben teilweise bereits reagiert und sämtliche Verbindungen über den Port 135 in den Netzen gesperrt, um den Wurm einzudämmen und eine weitere Verbreitung zu verhindern.

Die größere Gefahr geht mittlerweile nicht mehr vom eigentlichen W32.Blaster aus, sondern von Abwandlungen und Nachfolgern, die weit mehr Schaden anrichten könnten und nicht 'nur' eine Denial-of-Service Attacke ab dem 16. August auf die Windows Update Seiten von Microsoft im Sinn haben könnten. So hat nach Angaben von Trend Micro auch schon eine neue Variante ihren Weg ins Netz gefunden, die PCs zwar auf die gleiche Art und Weise wie der W32.Blaster befällt, jedoch Backdoors (Hintertüren) in den Internet Relay Chat (IRC) öffnet und dem Angreifer so die Kontrolle über das fremde System ermöglicht.

Wie man sich gegen den W32.Blaster schützen kann, erfahrt ihr auch weiterhin in unseren beiden dazu passenden News von gestern (1, 2).