Panda warnt vor Migrationen des Zotob-Wurms

Viren

Der spanische Security-Spezialist Panda Software http://www.pandasoftware.com warnt vor einer Reihe neuer
Malicious-Codes die derzeit für unzählige Infektionen sorgen. Neben dem
mittlerweile "prominenten" Zotob-Wurm tummeln sich diese Woche unzählige weniger
bekannte, aber ebenso gefährliche Plagegeister im Web.
Der Trojaner "Mitglieder.EK" hat sich laut Panda auf das Beenden von Prozessen
spezialisiert und kann sowohl Anti-Viren-Programme als auch Firewalls außer
Kraft setzen. Zusätzlich erstellt er einen Registry-Eintrag um sicher zu
stellen, dass er bei jedem Systemstart wieder ausgeführt wird. Nach dem Start
versucht er die Datei "OSA4.GIF" herunter zu laden. Hierbei handelt es sich laut
Panda jedoch nicht um ein Bild, sondern um eine ausführbare Datei.

Die
Migrationen "Zotob.A" und "Zotob.B" arbeiten beide in der gleichen Art und Weise
und nutzen die Verwundbarkeit von Windows im Plug and Play Service aus.
Angegriffen werden ausschließlich die Systeme mit Windows 2000, XP und 2003
Server. Beide Würmer greifen wahllos IP-Adressen über den Port 445 an. Finden
sie einen verwundbaren Rechner, installieren sie einen FTP-Server und versuchen
eine Kopie von sich selbst via TCP-Port 33333 herunter zu laden. Anschließend
blocken sie den Zugriff auf Webseiten von Anti-Viren-Hersteller und öffnen eine
Hintertür für weitere Kommandos.

Die drei Würmer "Zotob.D", "IRCBod.KC"
und "IRCBot.KD ähneln sich in ihren Funktionen und haben es ebenso auf die
vorhin beschriebene Microsoft Schwachstelle im Plug und Play Service abgesehen.
Nach der ersten Attacke variieren die Würmer jedoch ihre Vorgehensweise: Während
"Zotob.D" verschiedene Adware und Spyware-Programme löscht, versuchen seine
Kollegen die "Zotob"-Versionen A, B und C zu eliminieren oder verschiedene
Prozesse zu stoppen die von IRCBot-Varianten ausgelöst wurden. Zum Abschluss
öffnen alle Schadcodes eine Hintertür auf dem jeweiligen PC über die sie auf
weitere Anweisungen via IRC-Channel warten.

Der durch den Zotob-Wurm
ausgelöste Orange Alert ist laut Panda immer noch aktiv. Um sich vor dem Wurm zu
schützen, empfehlen die Anti-Viren-Spezialisten das entsprechende Patch von
Microsoft zu installieren (http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx
) und die jeweils verwendete Anti-Viren-Software auf den neuesten Stand zu
bringen.

Vorheriger Artikel Nächster Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.