Zotob/Mytob/Rbot/IRCBot/Bozori: Echte Epidemie oder nur Hysterie?

Die größte Virusepidemie seit Sasser und Mydoom?

(20.08.05) - Eine große Zahl internationaler Publikationen hat Informationen zu einem Virus veröffentlicht, der angeblich die Netzwerke vieler großer Unternehmen befallen und die größte diesjährige Epidemie ausgelöst hat. Laut Sendungen von CNN waren ABC News, die NY Times und der US Congress betroffen. Andere Publikationen haben diese Meldungen aufgegriffen und Verwirrung gestiftet.

Was geschieht tatsächlich und wie heißt/heißen der Virus/die Viren?

Kaspersky Lab beschreibt im Folgenden einen Vorfall, der durch einen einzigen Wurm verursacht wurde, welcher die folgenden Namen trägt:

· Zotob.e (Symantec)

· WORM_RBOT.CBQ (Trend Micro)

· IRCBot.Worm (McAfee)

· Tpbot-A (Sophos)

· Net-Worm.Win32.Bozori.a (Kaspersky Lab)

· Zotob.d (F-Secure)

Kaspersky Lab war nach eigenen Angaben eines der ersten Antiviren-Unternehmen, das den Virus entdeckt hat.

Das Kaspersky Virus Lab hat bisher weder von russischen noch von Anwendern aus anderen Ländern Meldungen bezüglich einer Infektion durch diesen Wurm erhalten. Es wurde bislang kein bemerkenswerter Anstieg der Netzwerkaktivitäten verzeichnet, die diesem Wurm zugeschrieben werden könnten. Während der Sasser-Epidemie im Mai 2004, mit der einige Publikationen Bozori.a vergleichen, stieg der Netzwerkverkehr dagegen sprunghaft um etwa 20 bis 40 Prozent an. Momentan gibt es keinerlei Anzeichen für eine ähnliche Entwicklung.

Der Wurm nutzt die Sicherheitslücke 'Plug & Play' in Microsoft Windows (MS05-039) aus, für die am 9. August 2005 ein Patch veröffentlicht wurde. Er kann von der Microsoft-Site unter http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx heruntergeladen werden

Seit der Bereitstellung dieses Patches wurden etwa zehn Schadprogramme ermittelt, die diese Sicherheitslücke zur Verbreitung nutzen: Es handelt sich um drei Mytob-Varianten (.ce, .cf, .ch), die von einigen Antivirus-Unternehmen Zotob benannt wurden.

Etwa sieben trojanische .bot-Programme der Familien Rbot and IRCBot wurden ebenso entdeckt, von denen aber kein Vertreter eine signifikante Epidemie verursachte.

Zusammenfassend ist zu sagen, dass einige der veröffentlichten Informationen über diesen Wurm rein spekulativ zu sein scheinen, da sie nicht auf Fakten bezüglich einer Epidemie beruhen. Kaspersky Lab liegen keinerlei konkrete Informationen über Anwender vor, deren PC mit Bozori.a infiziert sind. Dieser Umstand und die weiteren oben beschriebenen Fakten bestätigen, dass es die Computerwelt derzeit mit keiner Epidemie zu tun hat. (Kaspersky: ma)