Symantec Security Response heeft W32.Blaster.Worm geüpgraded naar level 4 (op een schaal van 5), vanwege de impact op een groot aantal gebruikers. W32.Blaster.Worm maakt gebruik van de Microsoft DCOM RPC Interface Buffer Overrun vulnerability.
W32.Blaster.Worm maakt misbruik van de DCOM MSRPC vulnerability op een remote systeem voor de initiële aanval. Vervolgens start de aanvallende machine een TFTP-server en middels het opstarten van een commandshell op het slachtoffersysteem wordt een kopie van de worm (msblast.exe) naar het slachtoffersysteem gestuurd. Na de installatie van de worm op het slachtoffersysteem wordt deze opgestart en gaat de worm vervolgens, gebruikmakend van een bepaald patroon, op zoek naar een nieuw remote systeem waarna de hele cyclus opnieuw begint.
Wanneer de W32.Blaster.Worm wordt uitgevoerd, gebeurt het volgende:
1. De waarde: "windows auto update"="msblast.exe" wordt toegevoegd aan de registry key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
zodat de worm geactiveerd wordt zodra Windows wordt opgestart.
2. Data worden gestuurd naar TCP poort 135 die de DCOM RPC vulnerability kan exloiteren en maakt de volgende acties op de kwetsbare machine mogelijk: de worm wordt gedownload en geactiveerd met behulp van het programma tftp.
Door analyse van de worm heeft Symantec vastgesteld dat deze code bevat om een Denial-of-Service aanval te starten tegen windowsupdate.com voor een bepaald tijdsbestek. De worm gaat een Denial-of-Service aanval beginnen vanaf 15 augustus tot het einde van het jaar, elk jaar.
Met behulp van Symantec's DeepSight Threat Management System, heeft Symantec vastgesteld dat 57,000 systemen geïnfecteerd zijn die momenteel het internet aftasten naar nieuwe slachtoffers. Dit aantal is exponentieel gegroeid gedurende de laatste 24 uur. Tot 10 augustus was het gemiddelde aantal aanvallen 1000 - 2000. Symantec's Managed Security Services rapporteert dat W32.Blaster.Worm zich verspreidt met een snelheid van ongeveer 20% van de Slammer worm.
Microsoft heeft een patch voor deze vulnerability sinds 16 juli jl. Symantec Security Response adviseert gebruikers om deze patch te installeren. De patch is beschikbaar op:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
Hiernaast worden de volgende maatregelen aanbevolen:
-- Systeembeheerders moeten firewall regels configureren om inkomend en uitgaand verkeer te blokkeren op de poorten 135-139 en poort 445.
-- Systeembeheerders kunnen verkeer ook blokkeren door de router access control lists (ACLs) te wijzigen.
Voor gedetailleerde informatie en een removal tool voor W32.Blaster.Worm kan men kijken op de Symantec Security Response website : http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
Of op:
https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf
Voor vragen of een mondelinge toelichting van één van onze experts kunt u contact opnemen met:
Mascha Monasso
PR Benelux
Tel. 071-408 3188
Mob. 06-24653502
E-mail: mmonasso@symantec.com
Met vriendelijke groet,
Symantec Ltd.