Zwei neue Würmer legen Systeme lahm
Archivmeldung vom 17.08.2005
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 17.08.2005 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittPandaLabs, das Panda Software Forschungslabor berichtet über zwei neue Würmer, die eine Plug and Play (PnP) Schwachstelle von Microsoft ausnutzen. Im erst vor ein paar Tagen veröffentlichten Security Bulletin MS05-039 berichtet Microsoft, dass bei erfolgreicher Ausnutzung die Kontrolle über das gesamte System übernommen werden kann.
Zotob.D
und
IRCBot.KB
suchen nach zufällig ausgewählten IP Adressen bei denen sie über den Port 445 versuchen die Systeme zu infizieren. Sind sie bei der Suche nach verwundbaren Systemen erfolgreich versuchen sie eine Kopie des Wurms via TFTP (vereinfachte Form des traditionellen FTP Protokolls) herunter zu laden.
Beide verändern einen Registry Key um sicher zu stellen, dass sie bei jedem Systemstart
ausgeführt werden. Zusätzlich richten sie eine Backdoor Komponente ein und warten auf weitere
Anweisungen durch diese Hintertür. Einmal infiziert können sie via IRC Server (Internet Relay Chat)
Dateien herunterladen, ausführen oder löschen. Angegriffen werden Systeme mit den
Betriebssystemen Windows 2000, XP und Windows Server 2003.
Zotob.D sucht nach den bekanntesten Adware Programmen und löscht ihre Dateien und Verzeichnisse.
Zotob.D macht sich durch das ständige herunterfahren und neu starten des Rechners bemerkbar.
Beide Würmer werden von den PandaLabs Experten zurzeit noch weiter analysiert, weitere
Informationen werden zeitnah unter den oben genannten Links zu finden sein.
Die nötigen Patches von Microsoft können sich alle User unter folgendem Link herunter laden:
http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx
Wer bereits das Patch zum Schutz vor der Plug and Play Schwachstelle installiert hat ist vor den beiden Würmern sicher.
Scannen Sie Ihren Rechner kostenfrei unter: www.activescan.com
Quelle: Pressemitteilung Panda Software