Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

18.08.2005

Angriff der Plug&Play-Würmer

Obwohl Microsoft passende Patches bereitgestellt hatte, legten Würmer die Rechner zahlreicher US-Unternehmen lahm.

Besser hätte es ein Hollywood-Regisseur kaum drehen können: Vor laufenden Kameras zeigten CNN-Redakteure ihren Zuschauern, wie ihre Rechner verrückt spielten. Die Windows-PCs waren dem Wurm "Zotob" zum Opfer gefallen. Neben CNN traf es auch andere amerikanische Medien wie den Fernsehsender ABC sowie die Nachrichtenagentur AP und die "New York Times". Ferner waren US-Unternehmen wie Caterpillar, Disney, Kraft, United Parcel oder Daimler-Chrysler betroffen. Nach Angaben des Autobauers war der Wurm in 13 amerikanischen Werken aufgetaucht.

So funktioniert der Zotob-Wurm

W32.Zotob.E, auch als "WORM_RBOT.CBQ" bekannt, ist ein Wurm, der die Windows-"Plug&Play"-Schwachstelle ausnutzt. Informationen und Patches zu dieser Schwäche sind im deutschen Microsoft Security Bulletin MS05-39 zu finden. Obwohl der Wurm auf allen Windows-Betriebssystemen lauffähig ist, kann er nur Windows-2000-Systeme infizieren. Hierbei legt sich W32.Zotob.E im Systemverzeichnis (Standard: C:\Windows\System32 beziehungsweise C:\Winnt\System32) unter dem Namen WINTBP.EXE ab. Durch Änderungen in der Registrierung wird diese Datei bei jedem Neustart des Rechners aufgerufen und ausgeführt. Dem Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run wird dazu der Wert "Wintbp" = "wintbp.exe" zugewiesen. Der Wurm versucht eine Verbindung zum IRC-Server 72.20.27.115 auf TCP-Port 8080 aufzubauen, um von dort Befehle zu empfangen.

Weiterhin startet er einen TFTP-Server auf UDP-Port 69. Der Wurm verbreitet sich selbständig weiter, indem er versucht, über das Netzwerk weitere Computer unter Ausnutzung der "Plug&Play"-Schwachstelle zu infizieren. Bei einem erfolgreichen Angriff öffnet der Wurm eine Backdoor auf TCP-Port 8594, über die das Schadprogramm auf das angegriffene System geladen wird. Quelle: BSI

Hier lesen Sie …

• welche Unternehmen von Plug&Play-Würmern erfolgreich angegriffen wurden;

• warum Experten von einem Botwar sprechen;

• wie der Wurm funktioniert;

• wie Sie sich schützen können.

Mehr zum Thema

www.computerwoche.de/go/

*80062: Anti-Wurm-Medizin von Microsoft;

*80014: Wurmschreiber wetteifern um Windows-Schwachstellen;

*79998: Neuer Wurm greift an;

*79599: Drei kritische Patches von Microsoft.

Dass einige US-Medien über die Wurmplage mit einer gewissen, wenn auch versteckten Schadensfreude berichteten, ist ihnen nicht zu verdenken: Der Wurm Zotob nutzt nämlich eine "Plug&Play"-Lücke in Windows, die Microsoft eine Woche zuvor am 9. August unter der Kennung "MS05-39" veröffentlicht hatte. Gleichzeitig hatte der Konzern einen entsprechenden Patch zum Download bereitgestellt. Primär ist der Wurm für Windows-2000-Rechner gefährlich, da er auf diesen eine Backdoor installiert. Allerdings befällt der digitale Schädling nach Auskunft der Antivirensoftware-Hersteller auch Systeme, auf denen Windows 95/98/ME, NT oder XP läuft. Zwar funktioniert dort die Hintertür nicht, doch der Plagegeist benutzt diese PCs als Ausgangsbasis, um weitere Rechner im Netz zu infizieren.

Zotob ist jedoch nur eine Variante, die versucht, die Plug&Play-Schwachstelle auszunutzen. Unter den Namen Bozori, IRCBot, RDBot, Esbot, Mytob, CodBot, SDBot oder Drudgebot, verknüpft mit verschiedenen Suffixes, existieren weitere Schädlinge, die dieses Schlupfloch ausnutzen wollen. Einige Antivirensoftware-Hersteller wie beispielsweise Fsecure sprechen bereits von einem "Botwar". Konkurrierende Virenprogrammierer-Gruppen würden versuchen, in möglichst kürzester Zeit das größte Netzwerk an infizierten Rechnern zu erringen. Für diese These spricht unter anderem, dass ein Teil der Würmer im Zuge der Infektion auf einem befallenen Rechner versucht, die Schadroutinen der Konkurrenz abzuschießen. Zudem verbreiten sich nach Erkenntnissen von Sicherheitsexperten wie David Maynor von Internet Security Systems (ISS) die neueren Plagegeister bis zu 30-mal schneller als die ersten Versionen.

Abwehrmaßnahmen

In Deutschland waren im Gegensatz zu den USA bis Redaktionsschluss keine größeren Infektionswellen bekannt. Dennoch sollten alle Anwender, falls noch nicht geschehen, schleunigst die von Microsoft Anfang August veröffentlichten kritischen Patches in ihre Systeme einspielen sowie die Virensignaturen ihrer Antivirensoftware updaten. Alle Hersteller bieten hierzu aktualisierte Dateien zum Download an. Dass die User die Bedrohung nicht auf die leichte Schulter nehmen sollten, zeigt eine Meldung von Websense: Es existieren bereits Exploits, die eine Lücke im Internet Explorer ausnützen, um schadhaften Code auf dem angegriffenen Rechner auszuführen. Diese Gefahr und den entsprechenden Patch hatte Microsoft ebenfalls am 9. August als Bulletin "MS05-38" veröffentlicht. (hi)