Kampf der Plug&Play-Würmer [Update]

Eine Flut neuer Würmer und Bots versucht die Plug&Play-Schwachstelle unter Windows 2000 auszunutzen. Dabei könnte es sich um einen Wettstreit von Virenschreibern handeln, die um das größte Netzwerk infizierter PCs streiten.

In Pocket speichern vorlesen Druckansicht 236 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Antivirenhersteller melden eine Flut neuer Würmer und Bots, die die Plug&Play-Schwachstelle unter Windows 2000 ausnutzen. Derzeit benutzen die Hersteller für die verschiedenen Varianten die Namen Zotob, Bozori, IRCBot, RDBot, Esbot, Mytob, CodBot, SDBot und Drudgebot -- jeweils mit verschiedenen Suffixes. Allerdings gibt es hier zahlreiche Überschneidungen. Während Bitdefender den Wurm Zotob.D nennt, heißt er bei Kaspersky Bozori.A, bei Panda IRCbot.KC und bei Sophos sogar Tpbot-A.

Trotz der Dubletten ist die Zahl der Zotob-Varianten beeindruckend. Offenbar stammen die Schädlinge von mehreren konkurrierenden Programmierern. Nach Einschätzung von F-Secure könnte es sich um einen Wettstreit von zwei oder drei Gruppen von Virenschreibern handeln, die um das größte Netzwerk infizierter PCs streiten. So versucht beispielsweise Zotob.F nach einer Infektion eventuell bereits laufende Bozori- und IRCBot-Würmer abzuschalten. Im Gegenzug machen Bozori-Ableger die Runde, die Zotob-Prozesse und weitere Plug&Play-Würmer abschießen. Einen ähnlichen Kleinkrieg gab es bereits 2004 zwischen den Autoren von Netsky und MyDoom.

Zusätzlich zum Exploit zur Plug&Play-Lücke verfügen einige der Würmer über weitere Tricks. So nutzen die RDBots laut F-Secure auch die über ein Jahr alte LSASS-Lücke aus. Zotob.C soll zudem in der Lage sein, sich über eine eigene SMTP-Engine zu versenden. Allein Trend Micro weist aber darauf hin, dass die Engine nicht richtig arbeitet. Anderfalls wären auch andere Windows-Systeme gefährdet, die nach einer Infektion als Ausgangsbasis für weitere Angriffe fungieren. Bislang wurden auch noch keine Samples per Mail registriert.

Wie stark sich die Schädlinge bislang verbreitet haben ist nicht klar. Nach den ersten Berichten über Infektionen von CNN, ABC, Walt Disney und der New York Times sind die Berichte über weitere neue Fälle abgeflaut. Einige Hersteller von Antivirensoftware sind auf der höchsten Alarmstufe, andere dagegen nur auf "Yellow" oder "Mittel".

Um das Risiko einer erfolgreichen Infektion durch das PnP-Gewürm zu beseitigten, genügt es, den von Microsoft zu Verfügung gestellten Patch zu installieren. Wer sich bereits infiziert hat, kann eine Desinfektion unter anderem mit McAfees kostenlosem Stinger-Tool oder Trend Micros Sysclean Package wagen.

Update
Trend Micro hat seine Beschreibung zu Zotob.C korrigiert. Demnach ist der Wurm durchaus in der Lage sich per SMTP zu verbreiten.

Der Hersteller Kaspersky übt derweil gemäßigte Kritik an der Berichterstattung einiger Medien. So habe Kaspersky zwar recht früh Signaturen für Zotob veröffentlicht, aber noch keine einzige Infektion registiert. Auch sei der Netzwerkverkehr nicht nennenswert in die Höhe gegangen. Vergleiche einiger Publikationen mit der früheren Sasser-Epidemie seien daher unzulässig. Einige der veröffentlichten Informationen sind nach Meinung des Herstellers zu spekulativ und nicht durch Fakten zu untermauern.

Siehe dazu auch: (dab)