Plug&Play-Wurm Zotob im Internet unterwegs [Update]
Ein neuer Wurm namens Zotob nutzt die letzte Woche bekannt gewordene Schwachstelle der Plug&Play-Schnittstelle, um Windows-Systeme übers Netz zu infizieren. Gefährdet sind vor allem Nutzer von Windows 2000, die den Patch noch nicht eingespielt haben.
Ein neuer Wurm namens Zotob nutzt die letzte Woche bekannt gewordene Schwachstelle der Windows Plug&Play-Schnittstelle, um Windows-Systeme übers Netz zu infizieren. Microsoft hat letzte Woche einen Patch für dieses Problem bereit gestellt; bereits wenige Tage danach sind erste Exploits veröffentlicht worden. Gefährdet sind vor allem ungepatchte Windows-2000-Systeme, weil hier der Zugriff auf die Plug&Play-Dienste anonym übers Netz möglich ist.
Windows-XP-Systeme mit Service Pack 2 und Windows 2003 Server erfordern dazu laut Microsoft eine erfolgreiche Authentifizierung als Administrator, bei Windows XP mit Service Pack 1 genügt der Zugang zu einem eingeschränkten Benutzerkonto. Diese Systeme kann Zotob folglich nicht infizieren, ohne beispielsweise Zugangsdaten zu erraten.
Zotob verbreitet sich über Pakete an den TCP Port 445. Bei Erfolg nimmt er via FTP Kontakt zu dem Rechner auf, von dem er kommt, und lädt weiteren Schadcode nach, den er dann als haha.exe speichert und ausführt. Des weiteren öffnet er einen Kanal ins IRC, über den er sich fernsteuern lässt, um beispielsweise weitere Module nachzuladen. Im System verewigt sich der Wurm in der Registry unter
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
mit dem Schlüssel "WINDOWS SYSTEM" = "botzor.exe", sodass er bei jedem Anmeldevorgang beziehungsweise Systemstart aktiviert wird. Des weiteren leitet Zotob Zugriffe auf diverse Internet-Adressen über Einträge in der Hosts-Datei auf das Loopback-Device um und verhindert damit Updates von Antiviren-Software. Schließlich enthält der zur Mytob-Familie gehörende Wurm mit
MSG to avs: the first av who detect this worm
will be the first killed in the next 24hours!!!
eine Drohung gegen Antiviren-Hersteller, die beispielsweise F-Secure mit der nüchternen Feststellung quittiert, dass sie den Wurm mit dem Update 2005_08_14-01 erkennen.
Das Szenario ist zwar vergleichbar zum Sasser-Wurm, mit einer ähnlichen Epidemie rechnen aber zum Beispiel die Virenexperten von F-Secure nicht, da Zotob Windows-XP-Systeme mit SP2 nicht infizieren könne. Administratoren und Anwender sollten sich jedoch keinesfalls auf den Schutz ihrer Firewall verlassen, die Zugriffe über TCP Port 445 blockiert, sondern schnellst möglichst den Microsoft-Patch einspielen. Frühere Würmer haben nachdrücklich demonstriert, dass sonst ein beispielsweise über ein infiziertes Notebook ins Firmennetz eingeschleppter Wurm beträchtlichen Schaden anrichten kann.
Update:
Microsoft hat das Plug&Play-Advisory aktualisiert und berichtet, dass man den Schädling "Worm:Win32/Zotob.A” derzeit untersuche. Ersten Ergebnissen zufolge enthält er keinen Code, um eine Authentifizierung durchzuführen und kann deshalb Systeme mit Windows Server 2003 und Windows XP mit Service Pack 1 oder 2 nicht befallen. Windows 98 -- auch als SE/ME -- ist von dem Plug&Play-Problem ohnehin nicht betroffen. Da der Patch gegen den Befall mit Zotob schützt, sieht man in Redmond ausschließlich Gefahr für ungepatchte Windows-2000-Systeme.
Siehe dazu auch: (ju)
- Beschreibung zu Zotob.A von F-Secure
- Beschreibung zu Zotob.A von Symantec
- Beschreibung der Lücke und Patch im Microsoft Security Bulletin MS05-039
- Plug&Play-Advisory von Microsoft
