MisterG
Commander
- Registriert
- Sep. 2003
- Beiträge
- 2.109
Für die Lücke im Windows-Serverdienst, die Microsoft am August-Patchday geschlossen hat, sind schon zwei Varianten des Mocbot-IRCBot unterwegs. Diese nutzen die Lücke auf verwundbaren Windows-2000-Rechnern aus, um sie zu infizieren. Nachdem Microsoft am Wochenende vor frei verfügbarem Exploit-Code warnte, haben die Redmonder inzwischen ihre Sicherheitsmeldung aktualisiert – sie schätzen das Risiko jedoch als gering ein. Offenbar spricht Microsoft jedoch von einem anderen Virus, da laut Brian Krebs, dem Sicherheitsspezialisten der Washington Post, die Mocbots von der Microsoft-Antivirenlösung gar nicht erkannt werden.
Nach der Infektion eines Rechners bauen die Mocbot-Varianten eine Verbindung zu einem IRC-Server her und warten dort auf Anweisungen von dem Botnetzbetreiber. Der Servername ist bekannt: Mocbot verbindet auf TCP-Port 18067 zu bniu.househot.com sowie zu ypgw.wallloan.com, falls der erste Server nicht erreichbar ist. Es handelt sich dabei um dieselben IRC-Server, die die ursprünglichen Mocbot-Varianten verwendet haben.
Die beiden IRCBot-Varianten setzen sich als wgareg.exe beziehungsweise wgavm.exe im Windows-Systemverzeichnis fest. Diese Dateien sind anschließend als Wndows-Dienst Windows Genuine Advantage Registration Service respektive als Windows Genuine Advantage Validation Monitor registriert und starten mit Systemrechten beim Hochfahren des infizierten Rechners. Der Bot-Netzbetzreiber kann dann beliebige Befehle an infizierte Rechner absetzen; eingebaut in den Schädling sind unter anderem Routinen für SYN-Floods, DDoS-Attacken, das Öffnen einer Shell sowie Funktionen zum Suchen und Infizieren von verwundbaren Rechnern. Die infizierten Rechner sollen möglicherweise von Spammern missbraucht werden. Die Antivirenhersteller liefern inzwischen aktualisierte Signaturen aus, mit denen die Würmer erkannt werden.
Unterdessen tauchte noch weiterer Schadcode für die am Patchday geschlossenen Sicherheitslücken auf. Das Internet Storm Center weiß von einem Schädling zu berichten, der das Leck im Windows-Hilfe-System auszunutzen versucht. Windows-Hilfe-Dateien, die beispielsweise per E-Mail eintreffen, sollten Anwender ebenso wie andere ungefragt zugesandte Dateianhänge nicht öffnen. Für die Sicherheitslücken im Internet Explorer waren schon zum Patchday Exploits auf Webseiten aktiv. Die am vergangenen Dienstag bereitgestellten Patches sollten also baldmöglichst eingespielt werden, so sie noch nicht vom automatischen Update installiert wurden. Rechner, auf denen die möglichen Nebenwirkungen der Patches die Instalation verhindern, sollten anderweitig geschützt werden; so sollte auf diese nur noch von vertrauenswürdigen Rechnern aus zugegriffen werden können. Auf ungepatchten Rechnern sollten Administratoren die Ports 139 und 445 schließen, um vor den Serverdienst-Würmern geschützt zu sein.
Quelle: http://www.heise.de/security/news/meldung/76768
Nach der Infektion eines Rechners bauen die Mocbot-Varianten eine Verbindung zu einem IRC-Server her und warten dort auf Anweisungen von dem Botnetzbetreiber. Der Servername ist bekannt: Mocbot verbindet auf TCP-Port 18067 zu bniu.househot.com sowie zu ypgw.wallloan.com, falls der erste Server nicht erreichbar ist. Es handelt sich dabei um dieselben IRC-Server, die die ursprünglichen Mocbot-Varianten verwendet haben.
Die beiden IRCBot-Varianten setzen sich als wgareg.exe beziehungsweise wgavm.exe im Windows-Systemverzeichnis fest. Diese Dateien sind anschließend als Wndows-Dienst Windows Genuine Advantage Registration Service respektive als Windows Genuine Advantage Validation Monitor registriert und starten mit Systemrechten beim Hochfahren des infizierten Rechners. Der Bot-Netzbetzreiber kann dann beliebige Befehle an infizierte Rechner absetzen; eingebaut in den Schädling sind unter anderem Routinen für SYN-Floods, DDoS-Attacken, das Öffnen einer Shell sowie Funktionen zum Suchen und Infizieren von verwundbaren Rechnern. Die infizierten Rechner sollen möglicherweise von Spammern missbraucht werden. Die Antivirenhersteller liefern inzwischen aktualisierte Signaturen aus, mit denen die Würmer erkannt werden.
Unterdessen tauchte noch weiterer Schadcode für die am Patchday geschlossenen Sicherheitslücken auf. Das Internet Storm Center weiß von einem Schädling zu berichten, der das Leck im Windows-Hilfe-System auszunutzen versucht. Windows-Hilfe-Dateien, die beispielsweise per E-Mail eintreffen, sollten Anwender ebenso wie andere ungefragt zugesandte Dateianhänge nicht öffnen. Für die Sicherheitslücken im Internet Explorer waren schon zum Patchday Exploits auf Webseiten aktiv. Die am vergangenen Dienstag bereitgestellten Patches sollten also baldmöglichst eingespielt werden, so sie noch nicht vom automatischen Update installiert wurden. Rechner, auf denen die möglichen Nebenwirkungen der Patches die Instalation verhindern, sollten anderweitig geschützt werden; so sollte auf diese nur noch von vertrauenswürdigen Rechnern aus zugegriffen werden können. Auf ungepatchten Rechnern sollten Administratoren die Ports 139 und 445 schließen, um vor den Serverdienst-Würmern geschützt zu sein.
Quelle: http://www.heise.de/security/news/meldung/76768
