Wurm nutzt Oktober-Schwachstelle in Windows

Die von Microsoft im Security Bulletin MS05-051 beschriebene Sicherheitslücke im MSDTC (Microsoft Distributed Transaction Coordinator) wird von einem Wurm namens "Dasher" genutzt, um in unzureichend geschützte PCs einzudringen. Bereits Ende November berichteten wir über einen PoC-Exploit (Proof of Concept) für diese Sicherheitslücke, der nach Beobachtungen des Internet Storm Center die Grundlage für den Wurm bildet.

Die erste Version des Wurms, von F-Secure als "Dasher.A" bezeichnet, funktioniert nicht, da sie Fehler enthält. So benötigt sie einen bestimmten Download-Server in China, der jedoch nicht mehr erreichbar ist.

Kurze Zeit später taucht jedoch eine zweite Version auf, "Dasher.B". Sie wurde von Georg Wicherski vom deutschen Honeynet-Projekt an der RWTH Aachen entdeckt. Darin sind offenbar die Fehler der ersten Fassung korrigiert, denn der Wurm kann sich aktiv ausbreiten. Zeitlich eng beisammen liegende Aktivitäten auf den Ports 53, 1025 und 21211 können ein Anzeichen für diesen Wurm sein.

Kann der Wurm eindringen, installiert er einen Keylogger, den er mit einem Rootkit tarnt. Das bedeutet, dass dieser kaum noch zu finden sein wird, wenn er erstmal installiert ist. Von der MSDTC-Schwachstelle sind Windows XP mit Service Pack 2 und Windows 98/Me nicht betroffen.

Nach der Beschreibung von Symantec legt der Dasher-Wurm eine Reihe von Dateien (SqlExp.exe, SqlScan.exe, svchost.exe) im Verzeichnis "wins" innerhalb des System32-Verzeichnisses von Windows an und startet das Programm "svchost.exe" von dort. Er sucht dann weiter nach angreifbaren Rechnern. Bei Trend Micro wird der Schädling als "WORM_DASHER.B" geführt.