Es hat länger gedauert als zunächst erwartet wurde, doch nun ist der erste wirklich gefährliche Internetwurm aufgetaucht, der auf Rechner abzielt, die noch nicht mit den
neuesten Windows-Updates versehen wurden. Zotob.A heißt der Schädling, der als Clon der Mytob-Familie auftritt.
Wie die Experten von F-Secure berichten, nutzt Zotob eine Schwachstelle im Windows Plug & Play Service, die erst kürzlich durch einen Patch geschlossen wurde. Internetsurfer, die ihren PC also noch nicht mit den aktuellen Sicherheitsupdates von Microsoft versehen haben, laufen Gefahr, durch Zotob.A angegriffen zu werden. Wird der Wurm ausgeführt, kopiert er sich unter dem Namen "botzor.exe" in das Systemverzeichnis und verändert die Registriereinträge, um sicherzustellen, dass er selbst bei jedem Systemstart automatisch aktiviert wird.
Schwachstelle wird ausgenutzt
Der Wurm sucht nach Systemen, die hinsichtlich der Sicherheitslücke im Microsoft Windows Plug-and-Play-Service (MS05-039) über TCP-Port 445 anfällig sind. Nach einem erfolgreichen Angriff weist der Wurm den entfernten Computer an, ihn per FTP vom angreifenden Computer herunterzuladen und auszuführen. Der FTP-Server lauscht bei allen infizierten Computern auf Port 33333, um den Wurm an andere Hosts zu versenden. Die heruntergeladene Datei wird unter dem Namen 'haha.exe' auf der Festplatte abgelegt.
Es ist dringend zu empfehlen, die Anti-Virus-Software schnellstmöglich zu aktualisieren. Alle großen Hersteller von Sicherheitssoftware bieten entsprechend aktualisierte Virensignaturen an.
Meldung empfehlen
News
