Channel Security

Der Computerwurm W32.Blaster (auch W32.Lovsan oder MSBlast genannt) feierte am Sonntag ein Jubiläum: Am 16. August 2003 sollte er einen DDoS-Angriffe auf Microsofts damaligen Update-Server "windowsupdate.com" starten.

Ausgangspunkt: Eine RPC-Schwachstelle

Genau wie beim jetzt aktuellen Wurm Conficker/Downadup war auch bei Blaster eine Schwachstelle in der RPC-Implementierung von Windows 2000 und XP (MS03-026) die Ursache des Übels. Während sich Conficker/Downadup aber auch über Netzwerkshares und mobile Datenträger verbreitet, ist Blaster auf die RPC-Schwachstelle angewiesen. Die Patches dafür wurden am 16. Juli 2003 veröffentlicht, kurze Zeit später gab es erste Exploits, und der Wurm begann am 11. August 2003 sich auszubreiten.

Die Verbreitungsroutine

Auf infizierten Rechnern startet der Wurm eine Suche nach anderen Rechnern im Netz und versucht, mit dem RPC-Port 135 gefundener Rechner eine Verbindung aufzubauen. Gelingt das, wird versucht, die RPC-Schwachstelle auszunutzen und darüber den Wurmcode einzuschleusen. Lief auf dem angegriffenen Rechner ein anderes Betriebssystem als Windows, kam es häufig zu einem DoS. Ursache dafür waren Schwachstellen in den RPC-Implementierungen mehrerer Hersteller. Aber auch unter Windows kam es häufiger zu Störungen. Zum einen, weil für Windows XP und Windows 2000 unterschiedlicher Code verwendet werden musste, der vor dem Angriff zufällig ausgewählt wurde und auf dem jeweils anderen System zu einem Absturz führte, zum anderen, weil der Wurmcode das System teilweise störte.

Die NutzSchadlast - bedingt erfolgreich

Blaster hatte in der Urversion nur eine Aufgabe: Er sollte am 16. August einen DDoS-Angriff auf Microsofts Update-Server "windowsupdate.com" starten. Durch eine etwas krude Implementierung wird die Funktion aber an jedem 16. Tag der Monate Januar bis August sowie an jedem Tag in den Monaten September bis Dezember gestartet. Da kein Jahr vorgegeben ist, DDoSed Blaster "windowsupdate.com" bis in alle Ewigkeit, sofern er dann noch einen Wirtsrechner findet. Microsoft ließ den Wurm aber quasi ins Leere laufen, indem die Namensauflösung für "windowsupdate.com" eingestellt wurde. In gewisser Weise war Blaster also sogar erfolgreich: "windowsupdate.com" ist nicht mehr erreichbar. Allerdings nur dem Namen nach, dem Server geht es weiterhin blendend.

Das Löschen von "windowsupdate.com" war relativ problemlos möglich, da die Update-Funktion von Windows sowieso die Adresse "windowsupdate.microsoft.com" verwendet. "windowsupdate.com" wurde hauptsächlich für z.B. Links zu Updates, verwendet. "windowsupdate.com" existiert auch heute noch nicht wieder, stattdessen wird "www.windowsupdate.com" verwendet.

Außer dem Schadcode enthält der Wurm noch eine Nachricht an Bill Gates, die aber nur im Code enthalten ist und nicht ausgegeben wird:

 
  I just want to say LOVE YOU SAN!!
  billy gates why do you make this possible ? Stop making money and fix your software!!

Mit dem Notebook ins lokale Netz

Conficker/Downadup nutzt die AutoRun-Funktion mobiler Datenträger wie z.B. USB-Sticks, um in lokale Netze zu gelangen. Blaster kennt eine solche Funktion nicht, trotzdem gelangte er oft unbeabsichtigt über mobile Geräte in eigentlich geschützte lokale Netze: Mitarbeiter brachten ihn auf ihren in fremden Netzen infizierten Notebooks ins eigene lokale Netz, wie z.B. Sophos warnte.

Stromausfall mit oder ohne Blaster?

Am 14. August 2003 kann es in weiten Teilen Nordamerikas zu einem Stromausfall, und sofort kamen Gerüchte auf, das der Blaster-Wurm daran Schuld war. Offiziellen Untersuchungen zu Folge bestand kein Zusammenhang, aber z.B. Bruce Schneier ist davon nicht überzeugt. Auf jeden Fall wurden andere Unternehmen hart vom Wurmausbruch betroffen, wie z.B. F-Secure ein Jahr nach dem Ausbruch schrieb: 'Blaster - one year later'.

Blaster in der Vanity Fair

Blaster schaffte, was kein Schädling vor ihm fertig brachte: Ein 10seitiger Artikel in der Vanity Fair befasste sich mit dem Wurm und seinen Folgen. F-Secure hat diesen Artikel nun online zur Verfügung gestellt.

"Wanted"-Plakat und "Geh ins Gefängnis"-Karte

Während der Autor des ursprünglichen Wurms trotz einer von Microsoft ausgesetzten Belohnung von 250.000 US-Dollar nie gefunden wurde, konnte der Autor der ersten Variante, W32/Blaster-B, vom FBI ermittelt werden. Der zum Tatzeitpunkt 18jährige wurde zu 18 Monaten Gefängnis verurteilt. Auch der Autor der Variante W32/Blaster-F konnte ermittelt werden.

Wurm gegen Wurm

Kurze Zeit nach den ersten Varianten von Blaster machte eine besondere Variante davon von sich reden: Welchi (auch Nachi genannt) nutzte die gleiche Schwachstelle, versuchte aber, den Patch dafür zu installieren und Blaster zu entfernen. 2004 entfernte sich Welchi selbst von den infizierten Rechnern. Was generell gut gemeint war, hatte aber auch Nebenwirkungen: In manchen Fällen kam es durch Welchi zu Abstürzen der damit infizierten Rechner.

Schlimm ist immer relativ

Blaster war 2003 eine große Bedrohung, die aber angesichts des aktuellen RPC-Wurms Conficker/Downadup und den Angriffen durch Botnets geradezu harmlos wirkt. Ein Eintrag im Malware Blog der Trend Micro TrendLabs listet angesichts des Blaster-Jubiläums die 5 bisher schlimmsten sowie 5 weitere bemerkenswerte Schädlinge auf. Auf Platz 1 befindet sich Conficker/Downadup, Blaster schafft es zumindest in die Liste bemerkenswerter Schädlinge. Wobei alle 10 Schädlinge die zu ihrer jeweiligen Zeit schlimmsten waren.

Carsten Eilers