Der Antiviren-Spezialist H+BEDV http://www.antivir.de warnt Anwender der Betriebssysteme Windows 95, 98, ME, NT, 2000 und XP sowie Windows Server 2003 vor einem neuen Wurm, der sich mit seiner eigenen SMTP-Engine via E-Mail und über das Netzwerk verbreitet.
Maslan.B scannt bestimmte IP-Adressen-Bereiche nach Rechnern, die nicht den dazugehörigen Sicherheitspatch installiert haben und versucht, sich mit diesen zu verbinden. Dann öffnet er die Ports 135 und 445 und ermöglicht mit Hilfe der Lücke im lokalen Sicherheitsdienst LSASS (Local Security Authority Subsystem) den Zugriff von außen. Anschließend versendet sich Worm/Maslan.B mit seiner eigenen SMTP-Engine an alle E-Mail-Adressen, die er auf dem System vorfindet.
Der Malicious-Code löst zwei Tasks aus. Der eine Task ist der Wurm selbst, der andere ist ein IRC-Bot, der mit Hilfe von externen Kommandos gesteuert werden kann. Dabei nutzt der Wurm die LSASS-Sicherheitslücke um sich auf anderen Systemen auszubreiten. Da die Steuerdateien und alle anderen vom Wurm abgelegten Dateien nicht sichtbar sind, kann Maslan.B laut H+BEDV nur manuell im abgesicherten Modus gelöscht werden. Nach Einschätzung von H+BEDV besteht derzeit hohe Infektionsgefahr.
Maslan.B schlüpft via SMTP-Engine durch Port 135 und 445
-
Vorheriger Artikel Nächster Artikel