Russischer IRC-Bot nutzt Plug&Play-Lücke

Montag den 24.10.2005 um 16:02 Uhr

von Frank Ziemann

Ein Trojanisches Pferd nutzt zu seiner Verbreitung eine bekannte Schwachstelle in Windows.
Das Trojanische Pferd "Mocbot", ein so genannter IRC-Bot, verbreitet sich über eine Sicherheitslücke im Plug&Play-Sytem von Windows. Parallel dazu veröffentlicht das französische Sicherheitspartal FR-SIRT einen Exploit für die neue Plug&Play-Schwachstelle MS05-047.

Mocbot nutzt jedoch nicht, wie zunächst angenommen, diese in diesem Monat im Microsoft Security Bulletin MS05-047 beschriebene Schwachstelle. Vielmehr verbreitet sich Mocbot über die bereits im August gemeldete Sicherheitslücke MS05-039 , die auch von den Würmern der Zotob-Familie genutzt wurde ( wir berichteten ).

Mocbot nistet sich als "wudpcom.exe" im System-Verzeichnis von Windows ein. Er richtet einen Dienst mit dem Namen "wudpcom" ein, der als "Windows UDP Communication" angezeigt wird. In der Beschreibung dieses Dienstes heißt es:
"Provides communication between clients and servers over UDP. If this service is stopped, UDP communication between clients and servers on the network will be impaired. If this service is disabled, any services that explicitly depend on it will fail to start."

Mocbot nimmt Kontakt zu zwei russischen IRC-Servern (Internet Relay Chat) auf und wartet auf Befehle. Er kann dann zum Beispiel DoS-Angriffe starten, nach verwundbaren Rechnern scannen und sich selbst an diese senden oder auch andere Dateien und Programme herunterladen.

Die von Mocbot genutzte Sicherheitslücke MS05-039 betrifft vor allem Computer mit Windows 2000, auf denen das im August von Microsoft bereit gestellte Update noch nicht installiert ist. Das dürfte angesichts der Aufregung um die Zotob-Würmer auf vergleichsweise wenige PCs zu treffen.

Mocbot-Beschreibungen :
McAfee
F-Secure

Montag den 24.10.2005 um 16:02 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
78402