Diverse amerikanische Medienunternehmen sind bereits einem gezielten Angriff der Botnets zum Opfer gefallen und lagen teilweise stundenlang lahm.
Besonders schwer wiegend ist in diesem Fall die Kürze der Zeit zwischen Bekanntgabe der Lücke und dem Auftauchen erster Exploits. Viele Firmen waren vor der Verteilung des Patches noch mit der Evaluierung beschäftigt, welche Auswirkungen der Patch auf das Produktivnetz haben könnte, und waren deshalb betroffen.
Diese bewährte Praxis muss wohl angesichts der aktuellen Situation überdacht werden: Risiko und Schadenspotenzial eines Produktionsausfalls auf Grund einer Inkompatibilität zwischen Patch und Umgebung sind deutlich geringer einzustufen als die Folgen einer Virenattacke.
Die Angreifer im Überblick
Über den IRCbot.KC (McAfee, Panda, Kaspersky, Sophos, Trend Micro) kann der Programmierer den befallenen Rechner fernsteuern, etwa Dateien übertragen, löschen oder ausführen.
Der IRCbot.KD (McAfee, Panda, Sophos, Trend Micro) agiert als Backdoor und erwartet von einer speziellen IP-Adresse Befehle. Zudem beendet er die Prozesse verschiedener anderer Schadprogramme, wie beispielsweise die von älteren IRCbot- und Zotob-Varianten.
Der Zotob.D (McAfee, Panda, Trend Micro) lässt sich über einen IRC-Channel fernsteuern. Des Weiteren löscht er diverse Adware- und Spyware-Programme sowie ältere Versionen von sich selbst: Zotob.B (McAfee, Panda, Trend Micro) und Zotob.A (McAfee, Panda, Trend Micro). Die Variante Zotob.C (McAfee, Trend Micro) verteilt sich zusätzlich über eine Massen-Mail.
W32/Tilebot-J (Sophos) ist ebenfalls ein Trojaner, der sich über einen IRC-Channel fernsteuern lässt. Der Vorgänger W32/Tilebot.I (Sophos) agiert auch über einen IRC-Channel und kann per HTTP mit einem Webserver kommunizieren. Zusätzlich installiert er den Trojaner Troj/Rootkit-W.
Als Systemtreiberdienst namens wpa.exe installiert sich der W32/Hwbot-B (Sophos, Trend Micro), der auch von einem IRC-Server Befehle entgegennimmt. WORM_RBOT.CBR (Trend Micro) agiert als IRC-Backdoor und führt DoS-Attacken aus.
Viele dieser Varianten versuchen zusätzlich, Shares im Netzwerk über Passwortlisten anzugreifen und sich so auf den angegriffenen Rechnern zu verbreiten. Weitere - häufig genutzte - Maßnahmen wie die Veränderung der HOSTS-Datei oder das Terminieren von Schutzprogrammen finden ebenfalls statt. Microsoft hat sein Bulletin um Vorgehensweisen für den Fall der Fälle erweitert.
So schützen Sie sich
Neben zeitnahen Patches sollten Sie allerdings weitere Maßnahmen ins Auge fassen, um den Schutz so weit als möglich auszubauen:
Einsatz eines Virenscanners im gesamten Netz auf Servern und Workstations. Dazu gehört zwingend auch eine regelmäßige Aktualisierung der Virusdefinitionen.
Einsatz einer Firewall, die Angriffe von außen unterbindet, aber auch den Traffic nach außen reguliert, etwa um das Nachladen von Schadcode zu verhindern oder Verbindungen zu IRC-Servern zu unterbinden.
Festlegen von Gruppenrichtlinien, die automatisch an alle Windows-Stationen im Netz verteilt werden.
Einsatz einer unternehmensweiten Sicherheits-Policy mit klaren Verantwortlichkeiten und Verhaltensmaßregeln für alle Benutzer. Dies sollte insbesondere auch mobile Benutzer umfassen, da diese speziellen Risiken unterliegen.
Jetzt und in Zukunft: Informieren Sie sich zeitnah
Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren.
Die Leser von tecCHANNEL-Premium haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen. (mha/mec)