Hi Coder,

wenn ich deine Frage richtig verstanden habe und der beitrag immer noch aktuell ist, müsste dies hier dir weiter helfen.

################################################## ####################
CERT-Bund -- Warn- und Informationsdienst
################################################## ####################
Informationen zu Programmen mit Schadfunktionen

VIRINFO 03/006 vom 12.08.2003

Virus-Warnung aufgrund grosser Verbreitung!

Name: W32.Blaster.Worm
Alias: W32/Lovsan.worm [McAfee]
WORM_MSBLAST.A [Trend]
Art: Wurm
Groesse des Anhangs: 6.176 Bytes (UPX gepackt)
Betriebssystem / Software: Windows NT/2000/XP
Art der Verbreitung: Netzwerk
Verbreitungsgrad: hoch
Risiko bei Aktivierung: mittel
Schadensfunktion: unkontrollierter Rechnerabsturz
Lauschen auf Port 135
Entfernung: aktuelle Definitionen
(ab 11.08.2003)
Spezielle Entfernung: Tool
Bekannt seit: 11.08.2003

Beschreibung:
W32.Blaster.Worm ist ein Wurm, der sich ueber das Netzwerk verbreitet.
Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Dabei handelt
es sich um einen nicht geprueften Puffer im "Windows Distributed
Component Object Model (DCOM) Remote Procedure Call (RPC) Interface".
Durch Ueberschreiben der Puffergrenze kann beliebiger Programmcode aus-
gefuehrt werden. Diese Schwachstelle befindet sich in nicht-gepatchten
Windows NT/2000/XP-Systemen.
Informationen zu dieser Schwaeche finden Sie im Microsoft Security
Bulletin MS03-026
<microsoft.com/technet/security/bulletin/MS03-026.asp>

W32.Blaster.Worm sucht ueber TCP Port 135 einen angreifbaren Rechner.
Dieser Rechner wird dazu gebracht, das Programm des Wurms (MSBLAST.EXE)
per FTP in das Verzeichnis C:\Windows\System32 oder C:\WINNT\System32
zu laden.
Diese Datei laedt der Rechner vom bereits infizierten System. Dazu
simuliert der Wurm auf dem infizierten System einen TFTP-Server.

Nach dem Download wird die Kopie des Wurms auf dem neuen Rechner
ausgefuehrt. Es beginnt ein neuer Infektionszyklus.

Der Wurm selbst ist UPX-gepackt.
Er enthaelt einen Text, der jedoch nicht angezeigt wird:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix
your software!!

Zum automatischen Start erzeugt W32.Blaster.Worm den Registrier-
schluessel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

mit dem Wert

"windows auto update" = MSBLAST.EXE

Bei der Suche nach angreifbaren Rechnern werden zunaechst die lokalen
Subnetze durchsucht. Danach werden zufaellige IP-Adressen zur Suche
verwendet.

Weiterhin fuehrt der W32.Blaster.Worm eine sog. DDoS-Attacke
(DDoS = distributed denial of service) gegen einen Microsoft-Server
durch (windowsupdate.com).
Dabei wird dieser Server mit so vielen Anfragen ueberflutet, dass er nicht mehr antworten kann. Diese Attacke wird in den Monaten Januar bis August vom 16. bis zum Ende des Monats gemacht, in den Monaten September bis Dezember wird die Attacke fortlaufend (taeglich) durchgefuehrt.

Hinweis:
Da sich der Wurm nicht ueber E-Mail-Nachrichten versendet, kann er an Mail-Gateways nicht abgefangen werden.
Administratoren sollten (wenn moeglich) auf der Firewall die Ports
135 TCP, 69 UDP und 4444 TCP schliessen.
Aktuelle Virendefinitionen erkennen die Datei MSBLAST.EXE waehrend des Downloads.

Entfernungs-Programm
Von Symantec wird ein spezielles Entfernungs-Programm fuer
W32.Blaster.Worm zum kostenlosen Download bereitgestellt.


Ein Update der Viren-Schutzsoftware ist erforderlich.
Viren-Signaturen ab dem 12.08.2003 koennen diesen Wurm erkennen.
Informieren Sie sich dazu beim Hersteller des Viren-Schutzprogramms.

Weiteres gibt es hier forum.ksgemeinde.de/archive/index.php/t-27675.html