Der Antivirensoftwarehersteller H+BEDV Datentechnik warnt alle Anwender der Betriebssysteme Windows 2000 und XP sowie Windows Server 2003 vor dem neuen Internet-Wurm Maslan.B. Der Wurm nutzt die Sicherheitslücke von LSASS aus und verbreitet sich über Email-Versand sowie über das Netzwerk. Es besteht sehr hohe Infektionsgefahr.

Ports 135 und 445

Der Worm/Maslan.B versendet sich mit einer Größe von 54.784 Bytes als Email mit eigener SMTP-Engine an alle Email-Adressen, die er im befallenen System vorfindet. Die SMTP-Engine ist ein Programm, das selbstständig Emails verschicken kann. Der Schädling öffnet in dem befallenen System die Ports 135 und 445 und ermöglicht somit den Zugriff mit Hilfe der LSASS-Sicherheitslücke von außen. Hierzu scannt der Wurm bestimmte IP-Adressen-Bereiche nach Rechnern, die nicht den dazugehörigen Sicherheitspatch eingespielt haben und versucht, sich mit diesen zu verbinden. Anschließend versendet Worm/Maslan.B Emails an alle Adressen, die er auf dem System vorfindet.

Nicht sichtbar

Es sind zwei Tasks aktiv, der eine ist der Wurm selbst, der andere ist ein IRC-Bot, der mit Hilfe von externen Kommandos gesteuert werden kann, wie z.B das Ausführen und Downloaden von Dateien. Die Steuerdateien und alle anderen vom Wurm abgelegten Dateien sind nicht sichtbar. Der Wurm nutzt die LSASS- Sicherheitslücke, um sich auf andere Systeme auszubreiten.

Da die angelegten Dateien für die Anwender nicht sichtbar sind, kann Maslan.B nur manuell im abgesicherten Modus gelöscht werden. H+BEDV Datentechnik GmbH empfiehlt dringend, schnellstmöglich ein Update der eingesetzten Antivirensoftware durchzuführen.

Reagiert

Zahlreiche Hersteller von Antivirensoftware haben bereits reagiert und stellen entsprechende Updates für zur Verfügung. Die Sicherheitslücke wurde von Microsoft breits im April 2004 geschlossen. Der mit dem Security Bulletin MS04-011 bereitgestellte Patch sollte unverzüglich installiert werden, sollte dies noch nicht geschehen sein. Alternativ kann auch die Windows-Update-Funktion des Betriebssystems zur Einspielung des Patches genutzt werden. User von Windows XP mit Service Pack 2 sind geschützt. (red)