Krieg der Bot-Würmer - Zotob, Bozori and Ircbot verbreiten sich immer stärker

Betroffen sind ausschließlich Systeme mit Windows 2000

(20.08.05) - Unternehmen sind aufgrund der starken Verbreitung neuer Wurmvarianten rund um den Globus in Alarmbereitschaft. Zotob, Bozori und Ircbot nutzen eine Sicherheitslücke in Microsofts Plug-and-Play Service. Betroffen sind ausschließlich Systeme mit Windows 2000, die den aktuellen Microsoft-Patch nicht installiert haben und nicht durch eine Firewall geschützt sind. Insbesondere aus den USA erreichten F-Secure in den letzten Stunden Berichte, dass die Systeme großer Unternehmen von den Würmern befallen wurden. Offensichtlich hatten sich Mitarbeiter mit infizierten Laptops an das Unternehmensnetzwerk angeschlossen.

Die neuen so genannten Plug-and-Play-Würmer nutzen eine Sicherheitslücke in Windows 2000, für die Microsoft am 9. August 2005 ein Patch zur Verfügung gestellt hat. Die Würmer verbreiten sich, indem sie versuchen, eine Verbindung über Port 445 herzustellen. Ist ein potenzielles Opfer gefunden, nutzen die Würmer die Plug-and-Play-Schwachstelle, um die eigentliche Virus-Datei über FTP herunter zu laden. Dann wird ein FTP-Server auf dem infizierten Rechner aufgesetzt und nach weiteren Systemen gesucht, die befallen werden können.

"Verschiedene Bot-Würmer bekriegen sich gegenseitig", so die Einschätzung von Mikko Hyppönen, Chief Research Officer bei F-Secure. "Scheinbar haben wir es mit drei unterschiedlichen Gangs von Virenschreibern zu tun, die mit alarmierender Geschwindigkeit neue Würmer produzieren - ganz so, als ob sie miteinander im Wettstreit stehen, wer das größte Netzwerk infizierter PCs aufbauen kann. Die letzten Varianten des Wurms Bozori haben sogar Viren der konkurrierenden Gruppen wie Zotob von den befallenen Rechnern entfernt."

Chronologie des Wurmkriegs

· Dienstag, 9. August 2005:

Microsoft veröffentlicht die monatlichen Sicherheits-Patches für Windows. Dazu gehörten auch einige Patches, die kritische Lücken wie die Schwachstelle in Microsofts Plug-and-Play Service (MS05-039) schlossen.

· Mittwoch, 10. August 2005:

Ein Russe mit dem Pseudonym "Houseofdabus" veröffentlicht einen funktionierenden Code, der die Plug-and-Play Sicherheitslücke ausnutzt, und ermöglicht, Rechner mit dem Betriebssystem Windows 2000 zu übernehmen.

· Sonntag, 14. August 2005:

Der Wurm Zotob.A taucht erstmals auf. Ein Unbekannter hatte den schädlichen "Houseofdabus" Code in einen Wurm integriert, der sich automatisch im Internet verbreitete. Die Entwicklung zeigt Analogien zum Fall Sasser, als der Virenschreiber Sven Jaschan den LSASS Exploit von „Houseofdabus“ in seinen berüchtigten Wurm integrierte.

· Mittwoch, 17. August 2005:

Mittlerweile sind neun Schädlinge bekannt, die den gleichen Exlpoit Code zur Verbreitung nutzen, darunter Varianten der Schädlinge Ircbot, SDBot und Bozori. Sie alle befallen nur Computer mit dem Betriebssystem Windows 2000, die entweder nicht gepatcht oder die nach der Installation des Patches nicht neu gestartet wurden und die nicht durch eine Firewall geschützt sind. (F-Secure: ma)