38664

Neuer Wurm stopft Windows-Lücke

28.11.2008 | 15:09 Uhr |

Die von Microsoft außer der Reihe gepatchte Sicherheitslücke in Windows (MS08-067) wird von mehreren neuen Schädlingen ausgenutzt, um neue Opfer für Spam-Botnets zu rekrutieren. Ein Wurm installiert sogar selbst den Patch.

Bereits seit 23. Oktober gibt es von Microsoft ein Sicherheits-Update, um die im Security Bulletin MS08-067 beschriebene und als kritisch eingestufte Sicherheitslücke im Server-Dienst aller Windows-Versionen zu beheben. Offenbar haben jedoch viele, darunter auch Unternehmen, das Update noch immer nicht installiert. Das besorgt nun offenbar ein neuer Wurm namens "Win32/Conficker.A", der über diese Schwachstelle eindringt. Meldungen über damit infizierte Systeme kommen mittlerweile von allen Kontinenten, die meisten aus den USA und Japan.

Microsofts Malware-Forscher berichten in ihrem Blog , der am letzten Wochenende entdeckte Schädling nutze, von einem infizierten PC ausgehend, zunächst die Sicherheitslücke aus, um Code in einen weiteren anfälligen Rechner einzuschleusen. Dieser Code lade dann eine Kopie des Wurms per HTTP von dem angreifenden PC herunter. Der Wurm wird oft erstmal als Datei mit einer JPG-Endung kopiert und dann unter einem zufällig generierten Namen als DLL im System-Verzeichnis abgelegt.

Der Schädling etabliert einen Web-Server-Prozess, der an einem zufällig gewählten Port lauscht, dessen Nummer zwischen 1024 und 10.000 liegt. Er sucht dann nach einem neuen Angriffsziel, welches sich von dem Web-Server wiederum eine Kopie des Wurms lädt. Win32/Conficker.A löscht außerdem Wiederherstellungspunkte aus der Systemwiederherstellung. Nach dem 1. Dezember soll er weitere Schädlinge von mehreren Servern im Internet laden.

Der auch als "W32.Downadup" ( Symantec , F-Secure ) oder "WORM_DOWNAD.A" ( Trend Micro ) bekannte Wurm patcht die anfällige API (Software-Schnittstelle) im Arbeitsspeicher, sodass der Rechner zumindest bis zum nächsten Neustart nicht mehr anfällig ist. Dabei hatte der Programmierer allerdings weniger das Wohl des PC-Eigners im Sinn. Vielmehr soll diese Maßnahme eine erneute Infektion verhindern und lästige Konkurrenten fern halten, also andere Malware, die auf die gleiche Schwachstelle zielt.

Davon gibt es inzwischen genug. Vor allen Spam-Bots rekrutieren auf diesem Wege neue Zombie-PCs für ihre Botnetze. Einer davon kommt in mehreren Varianten vor und wird bei Microsoft generisch als "Backdoor:Win32/IRCbot.BH" bezeichnet. Andere Namen für diese Schädlingsfamilie sind etwa "Exploit-DcomRpc.gen" (McAfee) oder Mal/IRCBot-B (Sophos).

Wenn Sie es noch nicht gemacht haben, sollten Sie das Sicherheits-Update aus dem Microsoft Security Bulletin MS08-067 umgehend installieren.

0 Kommentare zu diesem Artikel
38664