Zotob.E-Wurm nutzt erst kürzlich gepatchte Sicherheitslücke aus

Betroffen hiervon sind vor allem Windows 2000-Rechner

(18.08.05) - Die Sicherheitsexperten von H+BEDV Datentechnik empfehlen allen Anwendern der Betriebssysteme Windows 2000, Windows XP SP1 und Windows Server 2003, vor dem neuen Wurm Worm/Zotob.E auf der Hut zu sein. Dieser Wurm nutzt die erst vor einer Woche gepatchte Sicherheitslücke MS05-039 aus.

Der 10.366 Bytes große Wurm verbreitet sich direkt über das Netzwerk.

Betroffen hiervon sind vor allem Windows 2000-Rechner, welche noch nicht mit dem aktuellen Sicherheits-Patch von Microsoft ausgestattet sind. Findet der Wurm einen ungesicherten Computer, so erstellt er dort eine Batch-Datei, welche den Wurm mittels des Programms TFTP auf den Computer nachlädt und startet. Dieses Verfahren nutzte früher schon der "Blaster" alias "Lovsan"-Wurm.

Um für eine schnelle Verbreitung zu sorgen, versucht der Wurm, mehrere Verbindungen zu anderen Computern gleichzeitig aufzubauen. Das eigene Netzwerk und die Rechenleistung werden hierdurch beeinträchtigt.

Um nach einem Neustart des Betriebssystems wieder aktiv zu werden, wird der

Registry-Eintrag:

'HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run'

mit dem Wert: 'Wintbp' = '%SYSDIR%/wintbp.exe' erstellt.

Die Antivirenspezialisten von H+BEDV raten, dringend das von Microsoft veröffentlichte Sicherheits-Patch einzuspielen. Zwar schützt eine Firewall vor einer direkten Infektion, jedoch kann der Wurm mittels Notebooks in das Firmennetzwerk eindringen. (H+BEDV: ma)