gulli: Trojanerspam: Wikipedia vereitelt W32.Blaster-Spamming
31. Oktober 2006

Trojanerspam Wikipedia vereitelt W32.Blaster-Spamming

Mit einer neuen Masche wurde heute versucht, Malware unters Volk zu bringen. Links auf angebliche Securitypatches Microsofts wurden in den Wikipedia-Artikel zu W32.Blaster eingepflegt, anschließend wurde per Spam-Mail auf den Wikipedia-Artikel hingewiesen. Das Online-Lexikon reagierte jedoch minutenschnell.

Was die permanente Löschung einer Artikelversion zur Folge hatte. Die Spammer hatten nicht auf den Artikel zu W32.Blaster gelinkt, sondern einen direkten Link zur von ihnen editierten Version in der Artikel-History gesetzt. Die Möglichkeit der Wikipedia, alte Versionen eines Artikels zu vergleichen, wurde so von den Spamern genutzt: auch wenn die angeblichen Patch-Downloadlinks wieder wegeditiert werden, verweist der Link in der Spammail auf die alte Version, in der sie noch vorhanden sind.

"Wikipedia schlägt Alarm. Neue Variante des W32.Blasters im Umlauf. Wurm-Fix zum Download" titelt die Spammail, um vor dem Wurm zu warnen:

"W32.Blaster  (auch: W32.Lovsan und MSBlast) ist ein Computerwurm, der sich durch Ausnutzung einer Sicherheitslücke in der RPC-Schnittstelle von Microsoft Windows verbreitet. Der Wurm verbreitet sich ausschließlich über die Betriebssysteme Windows 2000, XP und Windows Server 2003 über den TCP-Port 135. Das Distributed Computing Environment (DCE), das auf einer Vielzahl verschiedener Betriebssysteme installiert sein kann, verwendet auch RPCs über Port 135. In Folge einer Schwachstelle in der Implementierung einiger Hersteller kann auf manchen Plattformen der DCE-Dienst zum Absturz gebracht werden..."

Gewarnt wird vor fünf Wurmvarianten "Seien Sie vorsichtig. Lassen Sie MSBLAST sich nicht weiter verbreiten!" bettelt die Spammail, um auf Wikipedia zu verweisen:

"Direkter Link zu weiterer Information bei Wikipedia. Wurm-Fix zum Download".

Dort stieß der Surfer auf folgenden, inzwischen gelöschten Text:

Die Schonzeit ist vorbei
Bisher beschränkte sich der Windows-Wurm W32.Blaster darauf, sich möglichst weitflächig zu verbreiten. Doch am 29. Oktober 2006 aktivierte der Wurm seine Schadensroutine. Die Download-Server und die Windows-Update-Site von Microsoft sind daher schon zum jetzigen Zeitpunkt nur noch sporadisch erreichbar. Der Ansturm dürfte in den kommenden Stunden stark zunehmen, wenn weitere Kontinente die Datumsgrenze überschreiten.
Inzwischen hat Microsoft die DNS-Auflösung für windowsupdate.com abgeschaltet; windowsupdate.microsoft.com dagegen wird im Domain Name System noch korrekt aufgelöst und ist in der Regel auch erreichbar. Wikipedia hat sich nach Absprache mit Microsoft Deutschland dazu entschlossen, die zum Stopfen des Sicherheitslochs benötigten Dateien auf dem eigenen FTP -Server zu spiegeln, um eine Nicht-Erreichbarkeit der Microsoft-Server mit den Patches zumindest ansatzweise
auszugleichen.
Die folgenden Patches stehen ab sofort auf dem Server zum Download bereit:
Windows XP (Home & Professional): 32-Bit-Version (deutsch / englisch)
Windows XP: 64-Bit-Version (deutsch / englisch)
Windows Server 2003: 32-Bit-Version (deutsch / englisch)
Windows Server 2003: 64-Bit-Version (deutsch / englisch)
Windows 2000 (Professional & Server) (deutsch / englisch)

Die Links führten zur Seite wikipedia-download.org/win/, wo angebliche Patches zum Download stehen.

Kurz nachdem die Spammail verschickt wurde, reagierte das Wikipedia-Team jedoch. Nachdem ein Edit des Textes sinnlos gewesen wäre, da die Downloadlinks immer noch in der Artikel-History vorhanden wären, löschte das Team die gespammte Artikelversion komplett.

Fazit: auch wenn die Reaktionszeit der Wikipedia beachtlich war, sind auch "offiziell" scheinende Virenwarnungen und Download-Aufforderungen mit Vorsicht zu genießen.

  • 8 Kommentare zum Artikel

  • Habe eben die SPAM-Mail bekommen und bin dann über den Diskussionsverlauf hergekommen. Interessanterweise, konnte ich ne zeitlang die veraltete Version noch aufrufen. (Provider-Cache?) War zwar ansonsten von anfang an klar, dass das ne SPAM-Mail war, aber in zweierlei Hinsicht gut gemacht. 1. wurde es nicht durch meinen SPAM-Filter erkannt und 2. wurde mir als Link tatsächlich ne "valide" wikipedia-Adresse angezeigt. Schade nur, ...

  • Glückwunsch an Gulli, jetzt verweist schon Spiegel Online hierher http://www.spiegel.de/netzwelt/tech/...445918,00.html

    Koksonkel am 01.11.2006 21:12

  • Zitat: Zitat von Koksonkel Glückwunsch an Gulli, jetzt verweist schon Spiegel Online hierher http://www.spiegel.de/netzwelt/tech/...445918,00.html Haha, Geil.

    aLPHa.LeaK am 01.11.2006 21:39

  • Tja - jetzt wird keine wikipedia.org URL mehr verwendet, aber die neueste Version der Mail nutzt die URL www. wikipedia-download.org/wiki/W32.Blaster.html, wo der gleiche Wurm im Wikipedia Layout verbreitet wird.

  • [...] Diskussion lesen oder Artikel kommentieren

Suche

RSS

gulli rss gulli News abonnieren
Add to Google
gulli:news feedburner stats
Wie funktioniert RSS?

AKTION

Wir haben bezahlt!
Für günstige, legale und DRM-freie Musik.

Napping

Das Beste von gulli auch auf deiner Seite?
Newsfeed abonnieren  news feed
Suche auf deiner Seite  suchbox
Banner und Buttons  banner & buttons

Support

Rettet das Internet

Piratenpartei Österreich

Piratenpartei Deutschland

© COPYRIGHT 2006 GULLI.COM