News - Internet - Allgemeines
Redakteur: Ronny
In der letzten Woche wurde eine Schwachstelle in der Plug&Play-Schnittstelle von Windows-Systemen gefunden. Über sie war es möglich betroffene PCs über das Internet zu infizieren. Der neue Internetwurm Zotob nutzt dies nun aus.
Betroffen sind laut Meinungen von Microsoft nur Windows 2000-Systeme auf denen die bereits bereitgestellten Patches nicht installiert sind. Während Windows mit Service Pack 2 sowie Windows 2003 Server für eine mögliche Infizierung eine erfolgreiche Authentifizierung als Administrator benötigen, würde bei Windows XP mit Service Pack 1 der Zugang zu einem eingeschränktem Benutzerkonto ausreichen.
Der Wurm Zotob besitzt allerdings, zumindest laut Microsoft, keinen Code um eine derartige Authentifizierung vorzunehmen und kann somit diese Systeme nicht kompromittieren. Nutzer von Windows 95/98 (ebenso wie SE und ME) sind von der Plug&Play-Schwachstelle ebenfalls nicht betroffen.
Erkennbar ist die Wurmaktivität am TCP-Port 445, über diesen will sich Zotob verbreiten. Hat er Erfolg, nimmt er Kontakt zum Ursprungsrechner auf und versucht neuen Schadcode nachzuladen. Als "haha.exe" gespeichert, verbindet er sich mit einem IRC-Kanal um somit eine Fernsteuerung, beispielsweise für ein Update des Wurms, zu ermöglichen.
In den Registry-Einträgen des Windows-Systems verewigt sich Zotob in den Zweigen:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices]
mit dem Schlüssel "WINDOWS SYSTEM" = "botzor.exe", somit wird der Wurm bei jedem Systemstart aktiviert.
Neben seinem eigentlichen Code enthält der Wurm außerdem noch eine Nachricht an die Antivirenprogrammhersteller: "MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!".
Diese Drohung an die Antivirenhersteller scheint allerdings im Sand zu verlaufen: F-Secure beispielsweise hat den Virus bereits am 14.08. in seine Virendefinitionslisten aufgenommen.
Zu einer Epidemie durch den Wurm Zotob wird es, wie geschehen beim Fall Sasser, wohl kaum kommen, da die Verbreitung über XP-Systeme bei Zotob nicht möglich ist und somit eher die weniger verbreiteten Windows 2000-PCs betroffen sind. Dennoch sollten alle 2000er Systemadministratoren den Patch aufspielen und sich nicht unbedingt auf vorgeschaltete Firewalls verlassen.
Patches für alle von der Schwachstelle betroffenen Systeme sind über den weiterführenden Link erreichbar.
Betroffen sind laut Meinungen von Microsoft nur Windows 2000-Systeme auf denen die bereits bereitgestellten Patches nicht installiert sind. Während Windows mit Service Pack 2 sowie Windows 2003 Server für eine mögliche Infizierung eine erfolgreiche Authentifizierung als Administrator benötigen, würde bei Windows XP mit Service Pack 1 der Zugang zu einem eingeschränktem Benutzerkonto ausreichen.
Der Wurm Zotob besitzt allerdings, zumindest laut Microsoft, keinen Code um eine derartige Authentifizierung vorzunehmen und kann somit diese Systeme nicht kompromittieren. Nutzer von Windows 95/98 (ebenso wie SE und ME) sind von der Plug&Play-Schwachstelle ebenfalls nicht betroffen.
Erkennbar ist die Wurmaktivität am TCP-Port 445, über diesen will sich Zotob verbreiten. Hat er Erfolg, nimmt er Kontakt zum Ursprungsrechner auf und versucht neuen Schadcode nachzuladen. Als "haha.exe" gespeichert, verbindet er sich mit einem IRC-Kanal um somit eine Fernsteuerung, beispielsweise für ein Update des Wurms, zu ermöglichen.
In den Registry-Einträgen des Windows-Systems verewigt sich Zotob in den Zweigen:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices]
mit dem Schlüssel "WINDOWS SYSTEM" = "botzor.exe", somit wird der Wurm bei jedem Systemstart aktiviert.
Neben seinem eigentlichen Code enthält der Wurm außerdem noch eine Nachricht an die Antivirenprogrammhersteller: "MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!".
Diese Drohung an die Antivirenhersteller scheint allerdings im Sand zu verlaufen: F-Secure beispielsweise hat den Virus bereits am 14.08. in seine Virendefinitionslisten aufgenommen.
Zu einer Epidemie durch den Wurm Zotob wird es, wie geschehen beim Fall Sasser, wohl kaum kommen, da die Verbreitung über XP-Systeme bei Zotob nicht möglich ist und somit eher die weniger verbreiteten Windows 2000-PCs betroffen sind. Dennoch sollten alle 2000er Systemadministratoren den Patch aufspielen und sich nicht unbedingt auf vorgeschaltete Firewalls verlassen.
Patches für alle von der Schwachstelle betroffenen Systeme sind über den weiterführenden Link erreichbar.
weiterer Link
19.10.05
09.05.04
08.05.04
08.05.04
08.04.04
05.04.04
19.08.03
17.07.03