Was ist der Blasterwurm?

Der Blaster-Wurm war ein Malware-Computerprogramm, das sich erstmals 2003 über das Internet verbreitete. Innerhalb weniger Tage nach seinem Auftreten Anfang August 2003 hatte der Wurm mehrere hunderttausend Windows-Computer infiziert. Der Blaster-Wurm war kein Zero-Day-Angriff, da er eine Sicherheitslücke ausnutzte, die im Juli dieses Jahres tatsächlich behoben worden war. Computer, auf denen der Patch bereits vorhanden war, waren nicht anfällig. Die Computer, auf die der Patch erfolgreich heruntergeladen werden konnte, wurden vor weiterer Ausnutzung geschützt. Eine der Funktionen, die der Blaster-Wurm ausführte, bestand darin, infizierte Computer in einer Reihe von DDoS-Angriffen (Distributed Denial of Service) auf die Server zu verwenden, die für die Bereitstellung der Sicherheitspatches verantwortlich sind.

Im Juli 2003 veröffentlichte Microsoft® einen Sicherheitspatch für das Remote Procedure Call (RPC) -Protokoll des Distributed Component Object Model (DCOM). Hacker-Gruppen konnten den Patch zurückentwickeln, um die Schwachstelle zu finden und auszunutzen, die behoben werden sollte. Sie entwarfen einen Wurm mit einer Datei namens MSblast.exe, von der der Name Blaster stammt.

Der Blaster-Wurm wurde entwickelt, um sich direkt über das Internet zu verbreiten. Es war nicht erforderlich, dass ein Benutzer eine Datei herunterlädt oder einen Anhang öffnet. Sobald ein Computer infiziert war, kontaktierte der Wurm eine große Anzahl von IP-Adressen (Internet Protocol) an Port 135. Wenn ein anfälliger Windows XP®-Computer auf diese Weise kontaktiert wurde, konnte sich der Wurm selbst replizieren und den Vorgang wiederholen.

Eine Folge der Infektion mit Blasterwürmern war die Teilnahme an einem zeitgesteuerten DDoS-Angriff. Jeder infizierte Computer war so eingestellt, dass er eine große Menge an Datenverkehr an die Server weiterleitet, die für die Verteilung von Patches verantwortlich sind. Diese Angriffe waren von der lokalen Uhr des infizierten Computers abhängig und führten zu einer kontinuierlichen Welle von übermäßigem Datenverkehr, der an die Server gerichtet war. Diese Strategie führte zu möglichen Änderungen an der Funktionsweise dieser Update-Systeme, sodass wichtige Patches auch bei zukünftigen Angriffen verfügbar bleiben.

Nachdem die Art der Infektion entdeckt worden war, blockierten viele Internetdienstanbieter (ISPs) den Datenverkehr auf Port 135. Dadurch wurde die Verbreitung des Wurms über diese ISPs effektiv gestoppt, obwohl bereits eine große Anzahl von Computern infiziert worden war. Als die Aufräumarbeiten begannen, tauchten eine Reihe von Varianten auf. Von diesen Varianten verwendete einer die gleichen Exploits, um ein erzwungenes Beheben des Problems zu versuchen. Dies wurde als hilfreicher Wurm bezeichnet, obwohl er zu einer Reihe eigener Probleme führte.

ANDERE SPRACHEN

War dieser Artikel hilfreich? Danke für die Rückmeldung Danke für die Rückmeldung

Wie können wir helfen? Wie können wir helfen?

IN VERBINDUNG STEHENDE ARTIKEL