ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Betriebssystem

Frische Wurmkur für Microsoft: W32.Zotob.E

Hannes Tismer
26 Kommentare

Dass die Betriebssysteme der Firma Microsoft seit eh und je mit Viren und Trojanern angegriffen wird, ist aufgrund des hohen Beliebtheits- bzw. Bekanntheitsgrades nicht verwunderlich. Die Plug&Play-Schnittstelle für einen Angriff zu benutzen ist jedoch seltener. An dieser Sicherheitslücke setzt der neue Virus „Zotob.E“ an.

Die noch sehr junge, erst vor kurzem bekannt gewordene Sicherheitslücke der Plug&Play-Codebasis in aktuellen Windows Versionen, wie 2000, 2003 Server und XP Servicepack 1, MS05-039, erlaubt dem Angreifer über den standardmäßig offenen Port 445 beliebige Kommandos auszuführen und so die Kontrolle über den betroffenen Computer zu erlangen. Durch diesen Port erstellt der Exploit etwa 300 Verbindungen in beliebige Netzwerkadressen des B-Klassen Netzwerkes 255.255.0.0. Der dadurch entstehende, interne Fehler ermöglicht dann, weitere Aktionen auf dem Ziel durchzuführen.

Genau diese Lücke nutzt der neue W32.Zotob.E Virus aus:

Er erstellt einen Shellprozess (cmd.exe) auf dem Port 8888 und öffnet mehrere FTP Verbindungen, um weitere Unterprogramme von anderen infizierten Systemen zu übertragen. Unter Anderem wird dann auf dem Port 33333 ein FTP-Server eingerichtet, um genau diese Daten auch für andere, mit diesem Virus infizierte Computer, bereitzustellen. Des Weiteren verbindet er sich mit einem IRC-Server, um weitere Möglichkeiten für den Angreifer zu eröffnen.

Um grundlegende Gegenmaßnahmen, wie das Herunterladen von Antivirenprogrammen oder deren Updates zu verhindern, ändert er außerdem die hosts Datei von Windows, um eine Vielzahl bekannter Internetadressen auf den selbigen PC umzuleiten (localhost bzw. 127.0.0.1). Nachdem der Virus ausgeführt wurde, befinden sich die Dateien „botzor.exe“, „haha.exe“, „csm.exe“ und „2pac.txt“ im Systemverzeichnis des Betriebssystems. Außerdem installiert er in der Registrierungsdatei unter den Sparten „HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run“ bzw. „HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices“ die Autostart-Einträge „WINDOWS SYSTEM = botzor.exe“ und „csm Win Updates = csm.exe“.

Effektiv richtet der Wurm keinen, für den Heimrechner relevanten Schaden an, er wird von namhaften virenbezogenen Herstellern deshalb als „Medium“-Gefahr eingeschätzt. Durch die zahlreichen Hintertüren, die geöffnet werden, entsteht jedoch ein hohes Risiko für Firmen und die private Daten.

Um die Infektion mit dem Zotob.E zu verhindern muss lediglich das vor einer Woche bekanntgegebene Security-Bulletin-Update von Microsoft installiert werden, welches hier zu finden ist.

CB-Funk Podcast #66: EKWB am Abgrund, arm(e) AI-PCs und Benchmarks en masse mit Fabian und Jan-Frederik

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz