MS08-6-067 wird massiv ausgenutzt

Wurm patcht Windows-Lücke

Die kritische Windows-Lücke MS08-067 wird massiv ausgenutzt. Einer der Würmer verspricht gar einen Patch, richtet aber mehr Schaden als Nutzen an.

Bereits seit dem 23. Oktober gibt es von Microsoft ein Sicherheitsupdate, um die im Security Bulletin MS08-067 beschriebene und als kritisch eingestufte Sicherheitslücke im Server-Dienst aller Windows-Versionen zu beheben. Offenbar haben jedoch viele, darunter auch Unternehmen, das Update noch immer nicht installiert. Das besorgt nun offenbar ein neuer Wurm namens "Win32/Conficker.A", der über diese Schwachstelle eindringt. Meldungen über damit infizierte Systeme kommen mittlerweile von allen Kontinenten, die meisten aus den USA und Japan.

Microsofts Malware-Forscher berichten in ihrem Blog, der am letzten Wochenende entdeckte Schädling nutze, von einem infizierten PC ausgehend, zunächst die Sicherheitslücke aus, um Code in einen weiteren anfälligen Rechner einzuschleusen. Dieser Code lade dann eine Kopie des Wurms per HTTP von dem angreifenden PC herunter. Der Wurm wird oft zuerst als Datei mit einer JPG-Endung kopiert und dann unter einem zufällig generierten Namen als DLL im Systemverzeichnis abgelegt.

Der Schädling etabliert einen Web-Server-Prozess, der an einem zufällig gewählten Port lauscht, dessen Nummer zwischen 1024 und 10.000 liegt. Er sucht dann nach einem neuen Angriffsziel, welches sich von dem Web-Server wiederum eine Kopie des Wurms lädt. Win32/Conficker.A löscht außerdem Wiederherstellungspunkte aus der Systemwiederherstellung. Nach dem 1. Dezember soll er weitere Schädlinge von mehreren Servern im Internet laden.

Der auch als "W32.Downadup" (Symantec, F-Secure) oder "WORM_DOWNAD.A" (Trend Micro) bekannte Wurm patcht die anfällige API (Softwareschnittstelle) im Arbeitsspeicher, so dass der Rechner zumindest bis zum nächsten Neustart nicht mehr anfällig ist. Dabei hatte der Programmierer allerdings weniger das Wohl des PC-Eigners im Sinn. Vielmehr soll diese Maßnahme eine erneute Infektion verhindern und lästige Konkurrenten fern halten, also andere Malware, die auf die gleiche Schwachstelle zielt. Die Virenforscher von Trend Micro sprechen in ihrem Blog bereits davon, dass sich mit Downad ein neues Botnetz zusammenbraut.

Davon gibt es inzwischen genug. Vor allem Spam-Bots rekrutieren auf diesem Wege neue Zombie-PCs für ihre Botnetze. Einer davon kommt in mehreren Varianten vor und wird bei Microsoft generisch als "Backdoor:Win32/IRCbot.BH" bezeichnet. Andere Namen für diese Schädlingsfamilie sind etwa "Exploit-DcomRpc.gen" (McAfee) oder Mal/IRCBot-B (Sophos). Wenn Sie es noch nicht getan haben, sollten Sie das Sicherheitsupdate aus dem Microsoft Security Bulletin MS08-067 umgehend installieren. (PC-Welt/mja)