News : Frische Wurmkur für Microsoft: W32.Zotob.E

, 26 Kommentare

Dass die Betriebssysteme der Firma Microsoft seit eh und je mit Viren und Trojanern angegriffen wird, ist aufgrund des hohen Beliebtheits- bzw. Bekanntheitsgrades nicht verwunderlich. Die Plug&Play-Schnittstelle für einen Angriff zu benutzen ist jedoch seltener. An dieser Sicherheitslücke setzt der neue Virus „Zotob.E“ an.

Die noch sehr junge, erst vor kurzem bekannt gewordene Sicherheitslücke der Plug&Play-Codebasis in aktuellen Windows Versionen, wie 2000, 2003 Server und XP Servicepack 1, MS05-039, erlaubt dem Angreifer über den standardmäßig offenen Port 445 beliebige Kommandos auszuführen und so die Kontrolle über den betroffenen Computer zu erlangen. Durch diesen Port erstellt der Exploit etwa 300 Verbindungen in beliebige Netzwerkadressen des B-Klassen Netzwerkes 255.255.0.0. Der dadurch entstehende, interne Fehler ermöglicht dann, weitere Aktionen auf dem Ziel durchzuführen.

Genau diese Lücke nutzt der neue W32.Zotob.E Virus aus:

Er erstellt einen Shellprozess (cmd.exe) auf dem Port 8888 und öffnet mehrere FTP Verbindungen, um weitere Unterprogramme von anderen infizierten Systemen zu übertragen. Unter Anderem wird dann auf dem Port 33333 ein FTP-Server eingerichtet, um genau diese Daten auch für andere, mit diesem Virus infizierte Computer, bereitzustellen. Des Weiteren verbindet er sich mit einem IRC-Server, um weitere Möglichkeiten für den Angreifer zu eröffnen.

Um grundlegende Gegenmaßnahmen, wie das Herunterladen von Antivirenprogrammen oder deren Updates zu verhindern, ändert er außerdem die hosts Datei von Windows, um eine Vielzahl bekannter Internetadressen auf den selbigen PC umzuleiten (localhost bzw. 127.0.0.1). Nachdem der Virus ausgeführt wurde, befinden sich die Dateien „botzor.exe“, „haha.exe“, „csm.exe“ und „2pac.txt“ im Systemverzeichnis des Betriebssystems. Außerdem installiert er in der Registrierungsdatei unter den Sparten „HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run“ bzw. „HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices“ die Autostart-Einträge „WINDOWS SYSTEM = botzor.exe“ und „csm Win Updates = csm.exe“.

Effektiv richtet der Wurm keinen, für den Heimrechner relevanten Schaden an, er wird von namhaften virenbezogenen Herstellern deshalb als „Medium“-Gefahr eingeschätzt. Durch die zahlreichen Hintertüren, die geöffnet werden, entsteht jedoch ein hohes Risiko für Firmen und die private Daten.

Um die Infektion mit dem Zotob.E zu verhindern muss lediglich das vor einer Woche bekanntgegebene Security-Bulletin-Update von Microsoft installiert werden, welches hier zu finden ist.