Erster Wurm-Alarm seit Mai
Mehrere Antivirus-Hersteller haben in der Nacht eine erhöhte Warnstufe ausgegeben.
Die seit gestern stark zunehmende Ausbreitung mehrerer Würmer, die die Plug&Play-Schwachstelle in Windows ausnutzen, hat einige Antivirus-Hersteller dazu veranlasst, Warnmeldungen zu veröffentlichen. Dies ist seit Mai (Sober.p) das erste Mal seit längerer Zeit, dass eine erhöhte Warnstufe von mehreren Antivirus-Firmen ausgegeben wird.
Dabei warnen die Unternehmen zum Teil vor unterschiedlichen Würmern oder Varianten. Halbwegs einig sind sie sich offenbar bei einem der Würmer, der jedoch unter ganz unterschiedlichen Namen aufgelistet wird. McAfee gibt seine höchste Alarmstufe für "W32/IRCbot.worm!MS05-039" aus, der bei Symantec als "W32.Zotob.E" mit Warnstufe 3 (5 ist die höchste) und bei Trend Micro als "WORM_RBOT.CBQ" mit der mittleren Warnstufe "yellow" geführt wird. Bei F-Secure erhält er den Namen "Zotob.D" und eine mittlere Warnstufe. Sophos nennt ihn "W32/Tpbot-A" und bei Etrust heißt der Wurm "Win32.Peabot.A".
Es handelt sich um einen Wurm, der bei Windows-Rechnern ohne aktuelle Updates (besonders bei Windows 2000) durch eine Sicherheitslücke in der Plug&Play-Schnittstelle eindringen kann. Gelingt dies, legt er eine Kopie von sich unter dem Namen "wintbp.exe" im System32-Verzeichnis von Windows ab. Er trägt sich in die Registry ein, damit er bei jedem Start von Windows automatisch geladen wird:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
wintbp.exe = wintbp.exe
wintbp.exe = wintbp.exe
Der Wurm öffnet ferner eine Hintertür (Backdoor) auf dem Port 8080 und nimmt über mehrere Ports Kontakt zum IRC-Netz auf, wo er weitere Instruktionen einholt. Zur Entfernung des Wurms hat McAfee sein kostenloses Entwurmungsmittel "Stinger" aktualisiert. Besser ist jedoch Vorsorge durch Installation des Sicherheits-Updates "899588" aus dem Security Bulletin MS05-039, da der Wurmangriff zu ständigen Neustarts von Windows führen kann.
Neben diesem Wurm gibt eine Reihe weiterer, die ebenfalls auf diese Schwachstelle zielen und sich teilweise nur in Details wie Dateinamen oder Zusatzfunktionen unterscheiden. Nahezu alle Antivirus-Hersteller haben auch außer der Reihe Updates für ihre Virenscanner bereit gestellt.
