Zotob.D
und
IRCBot.KB
 
suchen nach zufällig ausgewählten IP Adressen bei denen sie über den Port 445 versuchen die Systeme zu infizieren. Sind sie bei der Suche nach verwundbaren Systemen erfolgreich versuchen sie eine Kopie des Wurms via TFTP (vereinfachte Form des traditionellen FTP Protokolls) herunter zu laden.

Beide verändern einen Registry Key um sicher zu stellen, dass sie bei jedem Systemstart
ausgeführt werden. Zusätzlich richten sie eine Backdoor Komponente ein und warten auf weitere
Anweisungen durch diese Hintertür. Einmal infiziert können sie via IRC Server (Internet Relay Chat)

Dateien herunterladen, ausführen oder löschen. Angegriffen werden Systeme mit den
Betriebssystemen Windows 2000, XP und Windows Server 2003.

Zotob.D sucht nach den bekanntesten Adware Programmen und löscht ihre Dateien und Verzeichnisse.
Zotob.D macht sich durch das ständige herunterfahren und neu starten des Rechners bemerkbar.

Beide Würmer werden von den PandaLabs Experten zurzeit noch weiter analysiert, weitere
Informationen werden zeitnah unter den oben genannten Links zu finden sein.

Die nötigen Patches von Microsoft können sich alle User unter folgendem Link herunter laden:
http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx
Wer bereits das Patch zum Schutz vor der Plug and Play Schwachstelle installiert hat ist vor den beiden Würmern sicher.

Scannen Sie Ihren Rechner kostenfrei unter: www.activescan.com

Quelle: Pressemitteilung Panda Software