Yellow Worm verbreitet sich über Lücke in Symantecs Virenscannern
eEye warnt vor "Yellow Worm", auch das ISC stellt erhebliche Portscans auf den Symantec Client Port 2967 fest. Symantec will zunächst keinen Unterschied zum Hintergrundrauschen festgestellt haben.
- Daniel Bachfeld
Sieben Monate nach der Veröffentlichung einer kritischen Lücke in Symantecs Antiviren-Produkten durch den Sicherheitsdienstleister eEye sorgt diese wieder für Wirbel: eEye warnt vor "Yellow Worm", der über die Lücke in Systeme eindringt und sie in Bots umwandelt. Dazu lädt er weitere Dateien von einem Server nach.
Bereits im Mai wies eEye auf das Potenzial der Lücke für einen Wurmsausbruch hin. Da Symantecs Antivirenprodukte auf rund 200 Millionen Systemen in Unternehmen und bei Privatanwendern installiert sind, war die Sorge eines möglichen Wurmausbruchs nicht ganz unberechtigt. Allerdings zeigten sich damals im Mai keinerlei Anzeichen von Würmern, die sich über die Lücke ausbreiteten, zumal ein Update im Juni das Problem behob. Offenbar ist das Update zum Schließen der Lücke auf vielen Rechnern aber nicht installiert worden.
eEye beobachtet den Nachladeserver seit einiger Zeit und will festgestellt haben, dass bislang von 60000 unterschiedlichen Systemen Dateien nachgeladen wurden. Unter anderem soll Yellow Worm auch einen Keylogger installieren. Eine detaillierte Beschreibung des Bots beziehungsweise Wurms stellt eEye in seiner Warnung bereit.
Symantec hat den Wurm ebenfalls auf dem Radar und nennt ihn Sagevo. Symantec hat nach eigenen Angaben bis Samstag aber erst Meldungen von drei betroffenen Kunden. Gegenüber US-Medien betonte der Hersteller zunächst, er könne nicht mehr als das übliche Hintergrundrauschen feststellen. Immerhin bestätigt der Hersteller mittlerweile im Rahmen seines DeepSight-Netzwerkes, das mehrere tausend Kunden überwacht, einige Spikes in den Statistiken der Portzugriffe, die durch Savego verursacht würden. Das stellt auch das Internet Storm Center bei seinen Beobachtungen fest. Dabei verzeichnete es in den letzten Tagen eine erhebliche Zunahme der Scans auf den TCP-Port 2967, den Port auf dem der Symantec Client auf eingehende Verbindungen des Managements- und Update-Servers lauscht.
Immerhin stellt Symantec Signaturen zur Verfügung, um den Schädling zu erkennen. Derzeit sind die Scanner einiger anderer Hersteller diesbezüglich noch blind. Anwender sollten laut der Empfehlung von eEye schnellstens überprüfen, ob jeweils die aktuellen Versionen von
Symantec AntiVirus 10.0.x für Windows
Symantec AntiVirus 10.1.x für Windows
Symantec Client Security 3.0.x für Windows
Symantec Client Security 3.1.x für Windows
installiert sind. Zusätzlich sollte die Firewall Port 2967 blockieren.
Siehe dazu auch:
- Worm Alert: Big Yellow, Warnung von eEye
- W32.Sagevo, Wurmbeschreibung von Symantec
- Wirbel um kritische Lücke in Symantecs Antivirenprodukten , Meldung auf heise Security
(dab)
