Aktuell: So schützen Sie sich vor der PnP-Lücke in Windows

Die Angreifer im Überblick

Über den IRCbot.KC (McAfee, Panda, Kaspersky, Sophos, Trend Micro) kann der Programmierer den befallenen Rechner fernsteuern, etwa Dateien übertragen, löschen oder ausführen.

Der IRCbot.KD (McAfee, Panda, Sophos, Trend Micro) agiert als Backdoor und erwartet von einer speziellen IP-Adresse Befehle. Zudem beendet er die Prozesse verschiedener anderer Schadprogramme, wie beispielsweise die von älteren IRCbot- und Zotob-Varianten.

Der Zotob.D (McAfee, Panda, Trend Micro) lässt sich über einen IRC-Channel fernsteuern. Des Weiteren löscht er diverse Adware- und Spyware-Programme sowie ältere Versionen von sich selbst: Zotob.B (McAfee, Panda, Trend Micro) und Zotob.A (McAfee, Panda, Trend Micro). Die Variante Zotob.C (McAfee, Trend Micro) verteilt sich zusätzlich über eine Massen-Mail.

W32/Tilebot-J (Sophos) ist ebenfalls ein Trojaner, der sich über einen IRC-Channel fernsteuern lässt. Der Vorgänger W32/Tilebot.I (Sophos) agiert auch über einen IRC-Channel und kann per HTTP mit einem Webserver kommunizieren. Zusätzlich installiert er den Trojaner Troj/Rootkit-W.

Als Systemtreiberdienst namens wpa.exe installiert sich der W32/Hwbot-B (Sophos, Trend Micro), der auch von einem IRC-Server Befehle entgegennimmt. WORM_RBOT.CBR (Trend Micro) agiert als IRC-Backdoor und führt DoS-Attacken aus.

Viele dieser Varianten versuchen zusätzlich, Shares im Netzwerk über Passwortlisten anzugreifen und sich so auf den angegriffenen Rechnern zu verbreiten. Weitere - häufig genutzte - Maßnahmen wie die Veränderung der HOSTS-Datei oder das Terminieren von Schutzprogrammen finden ebenfalls statt. Microsoft hat sein Bulletin um Vorgehensweisen für den Fall der Fälle erweitert.