Zotob: Neuer Wurm verbreitet sich rapide

Ein neuer Wurm nutzt eine Schwachstelle in der Plug-and-Play-Funktion von Windows 2000. Laut Microsoft sind Systeme mit Windows XP und Windows 2003 Server nicht betroffen.

Die Wurmfamilie Zotob.A bis Zotob.C sowie der Trojaner Backdoor.Win32.IRCBot.es. nutzen eine Lücke in der Plug-and-Play-Funktion. Die Lücke MS05-039 wurde im August-Patch-Day behoben.

Einmal infiziert, versucht der Wurm über Port 445 weitere Pakete nachzuladen. Diese legt er als haha.exe auf dem System ab und führt sie aus. Danach startet ein Bot, der Kontakt zu einem festgelegten IRC-Channel aufnimmt. Über diesen Channel lässt sich der Bot fernsteuern. Ähnlich arbeitet auch der Trojaner IRCBot.es.

F-Secure meldet, dass Zotob außerdem verschiedene Internet-Adressen in die localhost-Datei einträgt. Der Antivirenhersteller empfiehlt, die Virensignatur zu aktualisieren und den aktuellen Windows-Patch einzuspielen.

Microsoft hat inzwischen das entsprechende Advisory zu der Lücke aktualisiert und beschreibt, wie sich Windows-2000-Systeme nachträglich absichern lassen. (mja)

tecCHANNEL Preisvergleich & Shop

Produkte

Info-Link

Antivirenprogramme

Preise und Händler