Kampf der Plug&Play-Würmer [Update]
Eine Flut neuer Würmer und Bots versucht die Plug&Play-Schwachstelle unter Windows 2000 auszunutzen. Dabei könnte es sich um einen Wettstreit von Virenschreibern handeln, die um das größte Netzwerk infizierter PCs streiten.
Antivirenhersteller melden eine Flut neuer Würmer und Bots, die die Plug&Play-Schwachstelle unter Windows 2000 [1] ausnutzen. Derzeit benutzen die Hersteller für die verschiedenen Varianten die Namen Zotob, Bozori, IRCBot, RDBot, Esbot, Mytob, CodBot, SDBot und Drudgebot -- jeweils mit verschiedenen Suffixes. Allerdings gibt es hier zahlreiche Überschneidungen. Während Bitdefender den Wurm Zotob.D nennt, heißt er bei Kaspersky Bozori.A, bei Panda IRCbot.KC und bei Sophos sogar Tpbot-A.
Trotz der Dubletten ist die Zahl der Zotob-Varianten beeindruckend. Offenbar stammen die Schädlinge von mehreren konkurrierenden Programmierern. Nach Einschätzung von F-Secure könnte es sich um einen Wettstreit von zwei oder drei Gruppen von Virenschreibern [2] handeln, die um das größte Netzwerk infizierter PCs streiten. So versucht beispielsweise Zotob.F nach einer Infektion eventuell bereits laufende Bozori- und IRCBot-Würmer abzuschalten. Im Gegenzug machen Bozori-Ableger die Runde, die Zotob-Prozesse und weitere Plug&Play-Würmer abschießen. Einen ähnlichen Kleinkrieg [3] gab es bereits 2004 zwischen den Autoren von Netsky und MyDoom.
Zusätzlich zum Exploit zur Plug&Play-Lücke verfügen einige der Würmer über weitere Tricks. So nutzen die RDBots laut F-Secure auch die über ein Jahr alte LSASS-Lücke [4] aus. Zotob.C soll zudem in der Lage sein, sich über eine eigene SMTP-Engine zu versenden. Allein Trend Micro weist aber darauf hin, dass die Engine nicht richtig arbeitet. Anderfalls wären auch andere Windows-Systeme gefährdet, die nach einer Infektion als Ausgangsbasis für weitere Angriffe fungieren. Bislang wurden auch noch keine Samples per Mail registriert.
Wie stark sich die Schädlinge bislang verbreitet haben ist nicht klar. Nach den ersten Berichten über Infektionen [5] von CNN, ABC, Walt Disney und der New York Times sind die Berichte über weitere neue Fälle abgeflaut. Einige Hersteller von Antivirensoftware sind auf der höchsten Alarmstufe, andere dagegen nur auf "Yellow" oder "Mittel".
Um das Risiko einer erfolgreichen Infektion durch das PnP-Gewürm zu beseitigten, genügt es, den von Microsoft zu Verfügung gestellten Patch [6] zu installieren. Wer sich bereits infiziert hat, kann eine Desinfektion unter anderem mit McAfees kostenlosem Stinger-Tool [7] oder Trend Micros Sysclean Package [8] wagen.
Update
Trend Micro hat seine Beschreibung zu Zotob.C korrigiert [9]. Demnach ist der Wurm durchaus in der Lage sich per SMTP zu verbreiten.
Der Hersteller Kaspersky übt derweil gemäßigte Kritik an der Berichterstattung einiger Medien. So habe Kaspersky zwar recht früh Signaturen für Zotob veröffentlicht, aber noch keine einzige Infektion registiert. Auch sei der Netzwerkverkehr nicht nennenswert in die Höhe gegangen. Vergleiche einiger Publikationen mit der früheren Sasser-Epidemie seien daher unzulässig. Einige der veröffentlichten Informationen sind nach Meinung des Herstellers zu spekulativ und nicht durch Fakten zu untermauern.
Siehe dazu auch: (dab [10])
- Plug&Play-Wurm befällt US-Medien, Firmen und Capitol [11]
- Plug&Play-Wurm Zotob im Internet unterwegs [12]
- Plug&Play-Wurm Zotob nicht nur auf Windows 2000 beschränkt [13]
- W32.Zotob.E [14], Wurmbeschreibung von Symantec
- WORM_RBOT.CBQ [15], Wurmbeschreibung von Trend Micro
- W32/IRCbot.worm!MS05-039 [16], Wurmbeschreibung von McAfee
- Security Advisory 899588 [17] zur Lücke in der Plug&Play-Schnittstelle von Microsoft
- Security Bulletin MS05-039 [18] von Microsoft zum Patch-Day im August
URL dieses Artikels:
https://www.heise.de/-123568
Links in diesem Artikel:
[1] https://www.heise.de/news/Erste-Exploits-nutzen-Plug-Play-Luecke-in-Windows-aus-122519.html
[2] http://www.f-secure.com/weblog/
[3] https://www.heise.de/news/Mutierende-Mail-Wuermer-im-Tagesrhythmus-Update-94549.html
[4] https://www.heise.de/news/Wurm-Sasser-dringt-ueber-Windows-Sicherheitsluecke-ein-97941.html
[5] https://www.heise.de/news/Plug-Play-Wurm-befaellt-US-Medien-Firmen-und-Capitol-123337.html
[6] http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms05-039.mspx
[7] http://vil.nai.com/vil/stinger/
[8] http://www.trendmicro.com/download/dcs.asp
[9] http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_ZOTOB.C
[10] mailto:dab@ct.de
[11] https://www.heise.de/news/Plug-Play-Wurm-befaellt-US-Medien-Firmen-und-Capitol-123337.html
[12] https://www.heise.de/news/Plug-Play-Wurm-Zotob-im-Internet-unterwegs-Update-122843.html
[13] https://www.heise.de/news/Plug-Play-Wurm-Zotob-nicht-nur-auf-Windows-2000-beschraenkt-Update-123089.html
[14] http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.e.html
[15] http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.CBQ
[16] http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=135491
[17] http://www.microsoft.com/technet/security/advisory/899588.mspx
[18] http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms05-039.mspx
Copyright © 2005 Heise Medien