Mehrere Antivirus-Hersteller melden eine neue Wurm-Familie namens “Zotob”, die sich bereits eine in der letzten Woche bekannt gewordene Sicherheitslücke in Windows zu Nutze machen. Über die Plug&Play-Schwachstelle breiten sie sich im Netzwerk und über das Internet aus. Gefährdet sind vor allem Rechner mit Windows 2000. Neben Zotob sind noch weitere Würmer entdeckt worden, die ebenfalls auf diese Lücke zielen.
Die Ausnutzung (Exploit) von Sicherheitslücken erfolgt immer schneller nach deren Bekanntwerden. Erst am letzten Dienstag hat Microsoft diese Schwachstelle mit dem Security Bulletin MS05-039 bekannt gegeben ( wir berichteten ) und Updates bereit gestellt, die das Loch stopfen. Computer unter Windows XP und Windows Server 2003 sind nach bisherigen Erkenntnissen nicht durch Zotob gefährdet. Die Ausnutzung der Schwachstelle erfordert hier eine erfolgreiche Anmeldung mit Benutzername und Passwort. Die drei bisher entdeckten Zotob-Würmer enthalten anscheinend keinen Code, der das versucht.
Unter Windows 2000 hingegen kann die Plug&Play-Sicherheitslücke ohne Benutzeranmeldung ausgenutzt werden. Daher sollten insbesondere Besitzer von Rechnern mit Windows 2000 umgehend die aktuellen Sicherheits-Updates installieren. In Netzwerke, die durch eine Firewall geschützt sind, kann Zotob nicht eindringen, wenn Zugriffe auf den Port 445 blockiert werden. Der Wurm könnte jedoch mit mobilen Rechnern eingeschleppt werden, die außerhalb infiziert werden und den Wurm dann auch im lokalen Netz verbreiten.
Während Privatanwender inzwischen meist Windows XP auf dem PC haben, ist Windows 2000 in vielen Unternehmen noch als Betriebssystem für Arbeitsplatzrechner im Einsatz. Microsoft hat zusätzlich zum Security Bulletin MS05-039 inzwischen eine Sicherheitsempfehlung veröffentlicht, die sich mit Zotob und der Plug&Play-Schwachstelle befasst. Ferner gibt es eine gesonderte Seite mit Informationen zum Zotob-Wurm. Darin wird empfohlen, nach einer Datei “botzor.exe” und nach neu hinzu gefügten Registry-Einträgen zu suchen, die auf diese Datei zeigen. Wer fündig wird, soll zunächst das Update aus MS05-039 installieren und dann die Datei und die betreffenden Registry-Einträge entfernen, schreibt Microsoft.
Wurm-Beschreibungen : F-Secure McAfee Symantec Trend Micro
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.