Panda warnt vor Migrationen des Zotob-Wurms

Neue Malicious-Codes nutzen Microsofts Plug&Play-Leck

Der spanische Security-Spezialist Panda Software warnt vor einer Reihe neuer Malicious-Codes die derzeit für unzählige Infektionen sorgen. Neben dem mittlerweile „prominenten“ Zotob-Wurm tummeln sich diese Woche unzählige weniger bekannte, aber ebenso gefährliche Plagegeister im Web.

Der Trojaner „Mitglieder.EK“ hat sich laut Panda auf das Beenden von Prozessen spezialisiert und kann sowohl Anti-Viren-Programme als auch Firewalls außer Kraft setzen. Zusätzlich erstellt er einen Registry-Eintrag um sicher zu stellen, dass er bei jedem Systemstart wieder ausgeführt wird. Nach dem Start versucht er die Datei „OSA4.GIF“ herunter zu laden. Hierbei handelt es sich laut Panda jedoch nicht um ein Bild, sondern um eine ausführbare Datei.

Die Migrationen „Zotob.A“ und „Zotob.B“ arbeiten beide in der gleichen Art und Weise und nutzen die Verwundbarkeit von Windows im Plug and Play Service aus. Angegriffen werden ausschließlich die Systeme mit Windows 2000, XP und 2003 Server. Beide Würmer greifen wahllos IP-Adressen über den Port 445 an. Finden sie einen verwundbaren Rechner, installieren sie einen FTP-Server und versuchen eine Kopie von sich selbst via TCP-Port 33333 herunter zu laden. Anschließend blocken sie den Zugriff auf Webseiten von Anti-Viren-Hersteller und öffnen eine Hintertür für weitere Kommandos.

Die drei Würmer „Zotob.D“, „IRCBod.KC“ und „IRCBot.KD ähneln sich in ihren Funktionen und haben es ebenso auf die vorhin beschriebene Microsoft Schwachstelle im Plug und Play Service abgesehen. Nach der ersten Attacke variieren die Würmer jedoch ihre Vorgehensweise: Während „Zotob.D“ verschiedene Adware und Spyware-Programme löscht, versuchen seine Kollegen die „Zotob“-Versionen A, B und C zu eliminieren oder verschiedene Prozesse zu stoppen die von IRCBot-Varianten ausgelöst wurden. Zum Abschluss öffnen alle Schadcodes eine Hintertür auf dem jeweiligen PC über die sie auf weitere Anweisungen via IRC-Channel warten.

Der durch den Zotob-Wurm ausgelöste Orange Alert ist laut Panda immer noch aktiv. Um sich vor dem Wurm zu schützen, empfehlen die Anti-Viren-Spezialisten das entsprechende Patch von Microsoft zu installieren und die jeweils verwendete Anti-Viren-Software auf den neuesten Stand zu bringen.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Panda warnt vor Migrationen des Zotob-Wurms

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *