28.11.2008, 15:09

Frank Ziemann

Mehr Schaden als Nutzen

Neuer Wurm stopft Windows-Lücke

Die von Microsoft außer der Reihe gepatchte Sicherheitslücke in Windows (MS08-067) wird von mehreren neuen Schädlingen ausgenutzt, um neue Opfer für Spam-Botnets zu rekrutieren. Ein Wurm installiert sogar selbst den Patch.
Angriffsschema des Wurms DOWNAD.A

Angriffsschema des Wurms DOWNAD.A

Bereits seit 23. Oktober gibt es von Microsoft ein Sicherheits-Update, um die im Security Bulletin MS08-067 beschriebene und als kritisch eingestufte Sicherheitslücke im Server-Dienst aller Windows-Versionen zu beheben. Offenbar haben jedoch viele, darunter auch Unternehmen, das Update noch immer nicht installiert. Das besorgt nun offenbar ein neuer Wurm namens "Win32/Conficker.A", der über diese Schwachstelle eindringt. Meldungen über damit infizierte Systeme kommen mittlerweile von allen Kontinenten, die meisten aus den USA und Japan.
Microsofts Malware-Forscher berichten in ihrem Blog, der am letzten Wochenende entdeckte Schädling nutze, von einem infizierten PC ausgehend, zunächst die Sicherheitslücke aus, um Code in einen weiteren anfälligen Rechner einzuschleusen. Dieser Code lade dann eine Kopie des Wurms per HTTP von dem angreifenden PC herunter. Der Wurm wird oft erstmal als Datei mit einer JPG-Endung kopiert und dann unter einem zufällig generierten Namen als DLL im System-Verzeichnis abgelegt.
Der Schädling etabliert einen Web-Server-Prozess, der an einem zufällig gewählten Port lauscht, dessen Nummer zwischen 1024 und 10.000 liegt. Er sucht dann nach einem neuen Angriffsziel, welches sich von dem Web-Server wiederum eine Kopie des Wurms lädt. Win32/Conficker.A löscht außerdem Wiederherstellungspunkte aus der Systemwiederherstellung. Nach dem 1. Dezember soll er weitere Schädlinge von mehreren Servern im Internet laden.
Der auch als "W32.Downadup" (Symantec, F-Secure) oder "WORM_DOWNAD.A" (Trend Micro) bekannte Wurm patcht die anfällige API (Software-Schnittstelle) im Arbeitsspeicher, sodass der Rechner zumindest bis zum nächsten Neustart nicht mehr anfällig ist. Dabei hatte der Programmierer allerdings weniger das Wohl des PC-Eigners im Sinn. Vielmehr soll diese Maßnahme eine erneute Infektion verhindern und lästige Konkurrenten fern halten, also andere Malware, die auf die gleiche Schwachstelle zielt.
Davon gibt es inzwischen genug. Vor allen Spam-Bots rekrutieren auf diesem Wege neue Zombie-PCs für ihre Botnetze. Einer davon kommt in mehreren Varianten vor und wird bei Microsoft generisch als "Backdoor:Win32/IRCbot.BH" bezeichnet. Andere Namen für diese Schädlingsfamilie sind etwa "Exploit-DcomRpc.gen" (McAfee) oder Mal/IRCBot-B (Sophos).
Wenn Sie es noch nicht gemacht haben, sollten Sie das Sicherheits-Update aus dem Microsoft Security Bulletin MS08-067 umgehend installieren.
Diskutieren Sie mit anderen Lesern über dieses Thema:
Ersten Kommentar erstellen
Direkt zum PC-WELT-Forum
PC-WELT-Experten lösen Ihr PC-Problem
Immer informiert mit dem PC-WELT Newsletter
Best-of PC-WELT   PC-WELT Apps
PC-WELT Business-IT   PC-WELT Community
PC-WELT iPhone- und Android-App
PC-WELT iPhone- und Android-App

Gratis! Laden Sie sich die PC-WELT-App jetzt auf Ihr Smartphone oder Ihr Tablet und lesen Sie auch unterwegs aktuelle News, Tests & Ratgeber aus der PC- und Smartphone-Welt.

Facebook-Freunde empfehlen
3x PC-WELT testen!
Ja, ich teste 3x die PC-WELT mit DVD für nur 11,90 € (19,- Sfr). Den 4 GB USB-Stick erhalte ich gratis dazu.
PC-WELT 6/ 2012
PC-WELT 6 / 2012

Zurück
Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:
Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.
Ich bin damit einverstanden, dass die IDG Tech Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.
Aktuelle Forumsthemen
38664
Content Management by InterRed