Rubrik: Virenwarnung/Aktuelle Meldungen

Mindestens zwei Würmer mit hoher Gefahrenstufe im Umlauf

W32.Zotob.E und W32.Esbot.A nutzen gefährliche Schwachstelle in Windows aus

(18.08.05) - Laut den Virenexperten von Symantec Security Response sind mit W32.Zotob.E und W32.Esbot.A mindestens zwei Würmer mit hoher Gefahrenstufe im Umlauf (Stufe 3 von maximal 5). Betroffen sind die Betriebssysteme Windows 2000, Windows XP und Windows Server 2003. Die mittlerweile hohe Verbreitung ist auf die Ausnutzung der Microsoft Windows Plug and Play Service-Schwachstelle zurückzuführen. Die Schwachstelle wurde erst am 9. August veröffentlicht. Ein Patch, durch den die Lücke geschlossen wird, steht zur Verfügung. Über den Plug and Play Service können Schnittstellengeräte wie Drucker usw.

betrieben werden.

Beide Würmer öffnen auf infizierten Rechnern Hintertüren, so genannte Backdoors, über die Hacker Zugriff auf den Rechner erlangen können. Beide Schadprogramme lauschen auf weitere Befehle. Hierdurch können infizierte Rechner zu so genannten BotNets zusammengeschlossen und ferngesteuert

werden.

"Unter BotNets (=Kürzel für Robot Network) sind große Gruppen von Computern im Internet verstehen, die mit Hilfe von speziellen Backdoor-Programmen (so genannte Bots) Hackern ermöglichen, einen fremden Rechner fernzusteuern", erklärt Gerald Maronde, Sicherheitsexperte von Symantec. "Das Interesse der Hacker liegt vor allem in der Rechnerleistung jedes einzelnen Computers. So werden PCs über die Bots zu einem leistungsfähigen Rechnernetzwerk verknüpft, welches dann zum Beispiel zum Versand von Spammails oder für Denial-of-Service-Attacken genutzt werden kann." Die Empfehlung des Symantec-Experten zum Schutz vor derartigen Bedrohungen: "Anwender sollten neben Sicherheitssoftware wie Virenscanner und Firewall auch immer Programme und Betriebssysteme aktualisieren, um Sicherheitslücken zu schließen. Gerade die Schwachstelle im Windows Plug and Play Service ist als besonders gefährlich eingestuft. "Die Schadprogramme zeigen, wie kurz mittlerweile die Zeitspanne zwischen der Bekanntgabe von Schwachstellen bis zur Ausnutzung ist", sagt Maronde. Laut dem letzten Internet Security Threat Report vom März 2005 liegen zwischen der Veröffentlichung und Ausnutzung von Schwachstellen im Durchschnitt nur noch sechs Tage.

Details zu Esbot.A:

·         nutzt Windows Plug and Play Service-Schwachstelle aus

·         öffnet Backdoor-Programm

·         vervielfältigt sich selber

·         verlangsamt die Rechnerleistung

·         versteckt sich als mausbm.exe (wird als Maus-Button-Monitor angezeigt)

·         schreibt sich in explorer.exe: auch wenn der Schädling gelöscht

·         vermeintlich gelöscht wird, öffnet er sich erneut über den Start des

·         Explorers.

·         lauscht auf IRC-Befehl (Internet Relay Chat Befehl)

Details zu Zotob.E:

·         nutzt Windows Plug and Play Service-Schwachstelle aus

·         öffnet Backdoor-Programm

·         vervielfältigt sich selber

·         sucht eigenständig nach IP-Adressen, verursacht hierdurch eine hohe Belastung des Netzwerkes (hoher Netzwerktraffic), was zum Crash führen kann

·         kann weiteren Code herunterladen

·         lauscht auf IRC-Befehl (Internet Relay Chat Befehl)

(Symantec: ra)