Neuer Wurm nutzt kritische Windows-Lücke

Am 23. Oktober hat Microsoft außerhalb des üblichen Patch-Day-Turnus das Security Bulletin MS08-067 veröffentlicht, um eine als kritisch eingestufte Anfälligkeit im Server-Dienst mehrerer Windows-Versionen zu beheben. Zu diesem Zeitpunkt war bereits ein Schädling im Umlauf, der diese Schwachstelle ausnutzte. Inzwischen ist ein neuer Wurm entdeckt worden, der über diese Sicherheitslücke eindringt, wenn der Patch aus dem Security Bulletin nicht installiert ist.

Der Wurm wird von Symantec als "W32.Wecorl" bezeichnet, McAfee nennt ihn "W32/Wecorl", Kaspersky Lab und Microsoft schlicht "MS08-067.g". Er installiert nach erfolgreichem Eindringen mehrere Schädlingskomponenten, darunter ein Rootkit (Tarnkappe) und einen DDoS-Bot, der chinesische Rechner angreift.

Der Wurm basiert nach Angaben von F-Secure auf einem in der letzten Woche veröffentlichten Demo-Exploit. Er versucht über den TCP-Port 139 in weitere Rechner im lokalen Netzwerk einzudringen. Er verändert die Datei "svchost.exe" im System32-Verzeichnis von Windows und löscht deren Sicherheitskopie im DLL-Cache von Windows.

Die Verbreitung des Wurms ist derzeit eher gering. Da es jedoch öffentlich verfügbaren, Wurm-tauglichen Exploit-Code für die Windows-Lücke gibt, können jederzeit weitere Schädlinge auftauchen, die darauf basieren. Insbesondere Nutzer von Windows 2000 und XP sollten das Sicherheits-Update aus MS08-067 umgehend installieren, da diese Systeme besonders anfällig sind, ebenso wie Windows Server 2003.