WinFuture-Forum.de: Zotob Autor Mitte September In Marokko Vor Gericht - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
  • 2 Seiten +
  • 1
  • 2

Zotob Autor Mitte September In Marokko Vor Gericht Authoren "Diabl0" und "Coder"


#1 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

  geschrieben 17. August 2005 - 02:58

WARNUNG: Neue Variante des Zotob-Wurms ausgebrochen!

In den USA und Asien ist eine neue Variante des Zotob-Wurms ausgebrochen. Er scheint sich bereits grösseren Ausmass verbreitet zu haben. Der Wurm beschädigt keine Daten, behindert aber den Datenaustausch in Netzwerken und manchmal startet sich der befallene Computer von selbst neu. Betroffen sind Computer mit Windows 2000 die noch nicht das Update MS05-039 / KB899588 installiert haben. Der Wurm nutzt somit die Plug-and-Play Sicherheitslücke aus die durch dieses Update geschlossen wird. Für Computer ohne dieses Update wird das Risiko von McAfee als "hoch" eingeschätzt.
Wer dieses Update MS05-039 bisher noch nicht installiert hat sollte dies dringenst sofort tun. Dies nicht nur auf Computern mit Windows 2000, sondern sicherheitshalber unbedingt auch auf Computern mit Windows XP oder Windows Server 2003.
McAfee hat bereits eine aktualisierte Version 2.5.6 von AVERT Stinger bereitgestellt, der diese neue Zotob-Varianten erkennen und beseitigen kann (siehe Beitrag #2 in diesem Thread).

Aliasnamen:
W32/IRCbot.worm!MS05-039 (McAfee)
W32/Tpbot-A (Sophos)
W32.Zotob.E (Symantec)
WORM_RBOT.CBQ (Trend Micro)

Microsoft Security Bulletin MS05-039 / KB899588
Microsoft Security Advisory 899588
Infos vom Microsoft zu Zotob
Infos von McAfee zu W32/IRCbot.worm!MS05-039
Infos von Sophos zu W32/Tpbot-A
Infos von Symantec zu W32.Zotob.E
Infos von Trend Micro zu WORM_RBOT.CBQ

CNN-Story Worm strikes down Windows 2000 systems



Neuer Computervirus in den USA - "W32.Zotob.E" legt Rechner lahm

Zitat

Ein neuer Computervirus hat die Datenverarbeitungssysteme etlicher Unternehmen angegriffen. Wie die US-Medien berichten, seien die Computer der amerikanischen Fernsehanstalten CNN und ABC, der Nachrichtenagentur AP, der "New York Times" sowie des Kapitols in Washington und verschiedener US-Unternehmen, darunter auch der grösste US-Baumaschinenkonzern Caterpillar in Peoria (Illinois), teilweise lahm gelegt worden.

Der Wurm mit dem Namen "W32.Zotob.E" ziele seit gestern weltweit auf Computer mit verschiedenen Windows-Programmen der Firma Microsoft, berichtete der Sender ABC. Nach Angaben von CNN - das eigens Sondersendungen ins Programm nahm - veranlasst der Wurm einen automatischen Neustart der Computer.

Der Wurm verursache größere Probleme bei Unternehmen mit vernetzten Computersystemen als bei individuellen PC-Benutzern, sagte David Perry von der Sicherheitsfirma Trend Micro. Der Wurm kopiere sich selbst. Er beschädige keine Daten, behindere aber den Datenaustausch in Netzwerken. Manchmal starte sich der befallene Computer von selbst neu.

Quelle ARD Tagesschau



UPDATE:
Es gibt inzwischen auch eine WinFuture-News zu diesem Thema:
http://www.winfuture...news,21885.html

Dieser Beitrag wurde von swissboy bearbeitet: 05. September 2005 - 13:00

0

Anzeige



#2 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

  geschrieben 17. August 2005 - 03:38

McAfee AVERT Stinger v2.5.6 - Malwarevernichtung

Der AVERT Stinger erkennt und entfernt Würmer und Viren nach einer Kompromittierung des Computers, indem er auf eine mittlerweile 55 Datensätze umfassende Datenbank der aktuellsten und "populärsten" Malware ihrer Art, sowie deren Varianten zurückgreift.

Eingefügtes Bild

In dieser aktualisierten Version wurde eine Erkennungs- und Lösch-Routine für die aktuellen Zotob-Wurm-Familien W32/IRCBot.worm (inklusive W32/IRCBot.worm!MS05-039) und W32/Zobot.worm hinzugefügt.

Lizenztyp: Freeware
Homepage: vil.nai.com/vil/stinger/
Direkt-Download (1.13MB): stinger.exe


UPDATE:
Es gibt inzwischen auch eine WinFuture-News zu diesem Thema:
http://www.winfuture...news,21892.html

Dieser Beitrag wurde von swissboy bearbeitet: 17. August 2005 - 13:42

0

#3 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

  geschrieben 17. August 2005 - 06:02

Neuer Virus: Computer-Ausfälle bei US-Medien
"Zotob" befällt Rechner mit Microsoft-Betriebssystem "Windows 2000"

Zitat

In den USA hat ein neuer Virus die Computer-Systeme zahlreicher Unternehmen lahmgelegt. Wie amerikanische Medien berichten, seien unter anderen die Fernseh-Sender CNN und ABC sowie die Zeitung "New York Times" betroffen. Der Wurm taucht häufig unter dem Namen "Zotob" auf und hat besonders Rechner mit dem Microsoft-Betriebs-System "Windows 2000" im Visier.

CNN unterbrach sein reguläres Programm mit der Nachricht, alle mit dem Betriebssystem Windows 2000 von Microsoft ausgestatteten Rechner seien von einem Computerwurm befallen worden, der die Geräte immer wieder hochfahre.

Vergangene Woche hatte Microsoft gewarnt, ein neuer Virus namens "Zotob" ermögliche einem Angreifer wegen einer Schwachstelle bei Windows 2000 den Zugriff auf PCs. Microsoft und die Sicherheitsfirma McAfee stellten am Dienstag aber keine erhöhte Aktivität von "Zotob" fest und sahen keine Anzeichen dafür, dass der Virus die Ausfälle bei den Medienunternehmen auslöste.

Die "New York Times" hatte zuvor bekannt gegeben, ihre internen Computersysteme seien ausgefallen. "Wir kennen noch nicht viele Details", sagte eine Sprecherin des Verlags. Auswirkungen auf die Produktion der Zeitung würden nicht erwartet. Vertreter von ABC News berichteten ebenfalls von Ausfällen.

"Wir haben keine große Zunahme gesehen", sagte eine Sprecherin der Microsoft-Sicherheitsabteilung mit Blick auf "Zotob". "Eine ziemlich kleine Zahl von Nutzern ist befallen."

Der weltweit zweitgrößte Hersteller von Sicherheits-Software, McAfee, gab bekannt, es werde noch geprüft, ob ein neuer Wurm oder Virus im Internet kursiere. "Insgesamt sieht es nicht so aus, als würde etwas passieren", sagte eine Mitarbeiterin. Das Unternehmen habe keine Hinweise darauf, dass ein Virus weltweit Schaden anrichte. Die Probleme bei den Medienfirmen könnten spezifisch mit deren Netzwerken zusammenhängen.

Der zum Medienkonzern Time Warner gehörende Sender CNN berichtete außerdem von Systemausfällen bei General Electric (GE), United Parcel Service (UPS) und Caterpillar. Auch bei der Nachrichtenagentur AP kam es zu Störungen. Ein GE-Sprecher sagte allerdings, es scheine im internen System keine Probleme zu geben. UPS bestätigte eine kleine Zahl betroffener Rechner. Bei Caterpillar war zunächst niemand für eine Stellungnahme erreichbar.

Quelle REUTERS / AP / ZDFheute
0

#4 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

  geschrieben 17. August 2005 - 13:57

Inzwischen hat Microsoft ein Statement zu Zotob veröffentlicht. Im Wesentlichen wird darin festgehalten das nur ungepatchte Windows 2000 Computer, nicht aber Windows XP oder andere Windows-Versionen potenziell davon betrofffen sind.

Zitat

Microsoft Statement Regarding Zotob
The Internet worm called Zotob targets Windows 2000; customers running Windows XP and other Windows versions are not impacted.

There are currently a number of press reports regarding an Internet worm called Zotob. News reports had indicated that there was potentially a new worm. We are not aware at this time of a new attack; instead our analysis has revealed that the reported worms are different variations of the existing attack called Zotob. Microsoft has reviewed the situation and continues to rate the issue as a low threat for customers.

Zotob has thus far had a low rate of infection. Zotob only targets Windows 2000. Customers running other versions such as Windows XP, or customers who have applied the MS05-039 update to Windows 2000 are not impacted by this attack.

Customers in the U.S. and Canada who believe they may have been affected by this attack can receive technical support from Microsoft Product Support Services at 1-866-PCSAFETY. There is no charge for support that is associated with security update issues or viruses. International customers can receive support by using any of the methods that are listed at Security Help and Support for Home Users Web site.

Customers who believe they have been attacked should contact their local FBI office or post their complaint on the Internet Fraud Complaint Center Web site. Customers outside the U.S. should contact the national law enforcement agency in their country.

All customers should apply the most recent security updates released by Microsoft to help ensure that their systems are protected from attempted exploitation. Customers who have enabled Automatic Updates will automatically receive all Windows updates. For more information about security updates, visit the Microsoft Security Web site.

Quelle Microsoft Pressemitteilung
0

#5 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

  geschrieben 17. August 2005 - 15:58

Kampf der Plug&Play-Würmer

Zitat

Antivirenhersteller melden eine Flut neuer Würmer und Bots, die die Plug&Play-Schwachstelle unter Windows 2000 ausnutzen. Derzeit benutzen die Hersteller für die verschiedenen Varianten die Namen Zotob, Bozori, IRCBot, RDBot, Esbot, Mytob, CodBot, SDBot und Drudgebot -- jeweils mit verschiedenen Suffixes. Allerdings gibt es hier zahlreiche Überschneidungen. Während Bitdefender den Wurm Zotob.D nennt, heißt er bei Kaspersky Bozori.A, bei Panda IRCbot.KC und bei Sophos sogar Tpbot-A. 

Trotz der Dubletten ist die Zahl der Zotob-Varianten beeindruckend. Offenbar stammen die Schädlinge von mehreren konkurrierenden Programmierern. Nach Einschätzung von F-Secure könnte es sich um einen Wettstreit von zwei oder drei Gruppen von Virenschreibern handeln, die um das größte Netzwerk infizierter PCs streiten. So versucht beispielsweise Zotob.F nach einer Infektion eventuell bereits laufende Bozori- und IRCBot-Würmer abzuschalten. Im Gegenzug machen Bozori-Ableger die Runde, die Zotob-Prozesse und weitere Plug&Play-Würmer abschießen. Ein ähnlichen Kleinkrieg gab es bereits 2004 zwischen den Autoren von Netsky und MyDoom.

Zusätzlich zum Exploit zur Plug&Play-Lücke verfügen einige der Würmer über weitere Tricks. So nutzen die RDBots laut F-Secure auch die über ein Jahr alte LSASS-Lücke aus. Zotob.C soll zudem in der Lage sein, sich über eine eigene SMTP-Engine zu versenden. Allein Trend Micro weist aber darauf hin, dass die Engine nicht richtig arbeitet. Anderfalls wären auch andere Windows-Systeme gefährdet, die nach einer Infektion als Ausgangsbasis für weitere Angriffe fungieren. Bislang wurden auch noch keine Samples per Mail registriert.

Wie stark sich die Schädlinge bislang verbreitet haben ist nicht klar. Nach den ersten Berichten über Infektionen von CNN, ABC, Walt Disney und der New York Times sind die Berichte über weitere neue Fälle abgeflaut. Einige Hersteller von Antivirensoftware sind auf der höchsten Alarmstufe, andere dagegen nur auf "Yellow" oder "Mittel".

Um das Risiko einer erfolgreichen Infektion durch das PnP-Gewürm zu beseitigten, genügt es, den von Microsoft zu Verfügung gestellten Patch zu installieren. Wer sich bereits infiziert hat, kann eine Desinfektion unter anderem mit McAfees kostenlosem Stinger-Tool oder Trend Micros Sysclean Package wagen.

Quelle heise online
0

#6 Mitglied ist offline   greg 

  • Gruppe: aktive Mitglieder
  • Beiträge: 403
  • Beigetreten: 20. Februar 05
  • Reputation: 0
  • Wohnort:Zossen

geschrieben 17. August 2005 - 16:24

schläfst du auch ma? :veryangry:
0

#7 Mitglied ist offline   UserXYZ 

  • Gruppe: Verbannt
  • Beiträge: 1.322
  • Beigetreten: 07. August 02
  • Reputation: 0

geschrieben 17. August 2005 - 17:43

gute frage :)

also schon lustig, selbst in jeder nachrichtensendung wird jetzt darüber berichtet und in zeitungen sogar auch ;)

cya
0

#8 _max_

  • Gruppe: Gäste

geschrieben 17. August 2005 - 19:16

Zitat (greg@dope: 17.08.2005, 17:24)

schläfst du auch ma?  ;)
<{POST_SNAPBACK}>

swissboy ist doch eines dieser neuen intelligenten Foren-Bots... sollte eigentlich geheim bleiben. :)

Danke für die News!
0

#9 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

  geschrieben 17. August 2005 - 21:32

Microsoft Windows-Tool zum Entfernen bösartiger Software v1.7.1 (KB890830)
(Microsoft Windows Malicious Software Removal Tool)

Mit Version 1.7.1 sind Zotob.A, Zotob.B, Zotob.C, Zotob.D, Zotob.E, Bobax.O, Esbot.A, Rbot.MA, Rbot.MB und Rbot.MC neu hinzugekommen.

Lizenztyp: Freeware
Homepage: http://www.microsoft.../malwareremove/
Infos und Download: http://www.microsoft.com/downloads/details...&DisplayLang=de
Direkt-Download (632KB): http://download.microsoft.com/download/f/4...0-V1.7A-DEU.exe


UPDATE:
Es gibt inzwischen auch eine WinFuture-News zu diesem Thema:
http://www.winfuture...news,21901.html

Dieser Beitrag wurde von swissboy bearbeitet: 18. August 2005 - 02:01

0

#10 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

  geschrieben 18. August 2005 - 13:12

Wurm Zotob und die Faulheit der Nutzer

Zitat

Mit dem letzten Patch-Day veröffentlichte Microsoft einen Flicken gegen die so genannte Plug&Play-Sicherheitslücke. Genau auf diese Lücke hat es der Wurm "Zotob" abgesehen, der wenige Tage später in die Weiten des Internets entlassen wurde und seitdem auf der Suche nach verwundbaren Rechnern ist. Computer Associates schätzt, dass mittlerweile rund 250.000 Systeme (vornehmlich unter Windows 2000) infiziert sind.

Zu den prominentesten Opfern zählen Firmen wie CNN, die New York Times, Caterpillar, American Express oder das Telekommunikations-Unternehmen SBC. Der Wurm sorgte unter anderem für Neustarts auf betroffenen Windows-2000-Rechnern.

Nach Ansicht von Sophos zeigt dieser Fall wieder einmal, dass Firmen die Bedeutung von Sicherheits-Patches immer noch unterschätzen. Christoph Hardy, Security Consultant bei Sophos, erläutert: "Die Methode von Virenschreibern, bekannte Sicherheitslücken in Betriebssystemen für gezielte Attacken auszunutzen, ist nicht neu. Bereits in der Vergangenheit konnten wir zunehmend beobachten, dass Hacker schon kurz nach Bekanntwerden von Sicherheitslücken entsprechende Schadprogramme in Umlauf bringen. Allerdings gab es bislang noch nie derart viele neue Viren innerhalb so kurzer Zeit, die ein und dieselbe Schwachstelle ausnutzten."

Dabei haben die Firmen noch Glück gehabt, denn die Malware verfügt nach derzeitigem Kenntnisstand über keine Schadroutinen wie beispielsweise dem Löschen von Festplatten oder dem Überschreiben bestimmter Dateien. Wäre dies der Fall gewesen, hätte Zotob weitaus mehr Schaden anrichten können.

Christoph Hardy: "Dass es trotz der schnellen Verfügbarkeit der Patches zu diesen weit reichenden Attacken kommen konnte, zeigt erneut, dass viele Unternehmen die Warnungen leider immer noch nicht ernst nehmen."

Anwender sollten diesen Vorfall somit als Warnung aufnehmen und in Zukunft ihr System immer auf dem aktuellen Stand halten. Dazu gehört auch das zeitnahe Einspielen bereit gestellter Patches. Denn der nächste Wurm kommt bestimmt und vielleicht ist er dann wirklich böswillig.

Den Patch für die Plug&Play-Sicherheitslücke finden Sie hier bei Microsoft.

Quelle PC-Welt



Plug&Play-Würmer weniger verbreitet als behauptet?

Zitat

Am Dienstag Abend (nach US-Zeit) riefen mehrere Antivirus-Hersteller eine erhöhte Warnstufe aus, weil sie eine zunehmende Verbreitung von Würmern des "Zotob"-Typs sahen. Dem widersprechen nun Kaspersky Labs und Microsoft.

Der Antivirus-Hersteller Kaspersky Labs stellt seine Sicht in einer Pressemitteilung dar. Die Verbreitung der Würmer, die die Plug&Play-Sicherheitslücke (MS05-039) in Windows ausnutzen, sei keineswegs dramatisch. Man habe keine Meldungen von betroffenen Anwendern erhalten und auch keinen signifikaten Anstieg von Netz-Aktivitäten beobachtet, der auf diese Würmer zurück geführt werden könnte. Während der "Sasser-Epidemie" im Mai 2004 sei es hingegen zu einem Anstieg der Netz-Aktivitäten um 20 bis 40 Prozent gekommen.

Bei Microsoft ist man offenbar der gleichen Meinung. Im Blog des Microsoft Sicherheits-Teams schreibt Mike Reavey, die Zahl der Infektionen mit Zotob und anderen derartigen Würmern sei bislang gering. Man beobachte weiterhin die Lage und untersuche jeden neu auftauchenden Schädling. Reavey betont auch, dass Anwender mit Windows XP von Würmern, die die Plug&Play-Schwachstelle ausnutzen, nicht gefährdet sind. Nur Windows 2000 sei bedroht und davor würde die Installation des in der letzten Woche bereit gestellten Sicherheits-Updates schützen.

Während Computer Associates, F-Secure, Trend Micro und Symantec ihre mittlere Warnstufe für jeweils ein bis zwei der Würmer aufrecht erhalten, hat McAfee die ursprünglich auf "high" gesetzte Warnstufe für "W32/IRCbot.worm!MS05-039" (alias Zotob.E) inzwischen gleichfalls auf "medium" abgesenkt. Je nach Antivirus-Hersteller und dessen Zählweise sind mittlerweile mehr als ein Dutzend Würmer und Varianten bekannt, die auf die Plug&Play-Schwachstelle zielen. Täglich werden mehrere weitere Varianten entdeckt.

Quelle PC-Welt

Dieser Beitrag wurde von swissboy bearbeitet: 18. August 2005 - 15:36

0

#11 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

  geschrieben 19. August 2005 - 15:30

Zotob-Epidemie: Ein Drittel gibt Microsoft die Schuld
Eine rechtzeitige Installation des bereitgestellten Updates hätte die Verbreitung verhindert

Zitat

Einer nicht repräsentativen Internet-Umfrage von Sophos zufolge geben 35 Prozent Microsoft die Schuld an der Zotob-Epidemie der letzten Tage. 45 Prozent sehen die Hauptverantwortung beim Virenautor, 20 Prozent bei ihren Systemadministratoren, die Rechner nicht schnell genug gepatcht haben.
Zotob nutzt eine Sicherheitslücke in Windows-Systemen, für die im Rahmen des Patch Day in der vergangenen Woche ein Patch bereitgestellt wurde. Betroffen sind Windows 2000, XP bis SP 1 und Windows Server 2003. Wäre das Update überall rechtzeitig installiert worden, hätte sich Zotob nicht verbreiten können.

Graham Cluley, Senior Technology Consulant bei Sophos, nannte es überraschend, dass immerhin 35 Prozent die hauptsächliche Verantwortung für die Probleme bei Microsoft sehen. Die Redmonder haben in letzter Zeit einige Fortschritte auf dem Gebiet der Software-Sicherheit erzielt, gerade das Service Pack 2 für Windows XP hat das System deutlich widerstandsfähiger gemacht.

Clulay sagte, dass Microsoft beim Umgang mit Sicherheitslücken in einer schwierigen Position sei. Werden diese veröffentlicht, könnte dies Virenschreiber auf den Plan rufen. Hält Microsoft die Schwachstellen unter Verschluss, beschwert sich jeder darüber, nicht rechtzeitig informiert worden zu sein.

Quelle ZDNet

Dieser Beitrag wurde von swissboy bearbeitet: 19. August 2005 - 15:30

0

#12 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

  geschrieben 23. August 2005 - 13:28

Panda warnt vor Migrationen des Zotob-Wurms
Neue Malicious-Codes nutzen Microsofts Plug&Play-Leck

Zitat

Der spanische Security-Spezialist Panda Software warnt vor einer Reihe neuer Malicious-Codes die derzeit für unzählige Infektionen sorgen. Neben dem mittlerweile "prominenten" Zotob-Wurm tummeln sich diese Woche unzählige weniger bekannte, aber ebenso gefährliche Plagegeister im Web.
Der Trojaner "Mitglieder.EK" hat sich laut Panda auf das Beenden von Prozessen spezialisiert und kann sowohl Anti-Viren-Programme als auch Firewalls außer Kraft setzen. Zusätzlich erstellt er einen Registry-Eintrag um sicher zu stellen, dass er bei jedem Systemstart wieder ausgeführt wird. Nach dem Start versucht er die Datei "OSA4.GIF" herunter zu laden. Hierbei handelt es sich laut Panda jedoch nicht um ein Bild, sondern um eine ausführbare Datei.

Die Migrationen "Zotob.A" und "Zotob.B" arbeiten beide in der gleichen Art und Weise und nutzen die Verwundbarkeit von Windows im Plug and Play Service aus. Angegriffen werden ausschließlich die Systeme mit Windows 2000, XP und 2003 Server. Beide Würmer greifen wahllos IP-Adressen über den Port 445 an. Finden sie einen verwundbaren Rechner, installieren sie einen FTP-Server und versuchen eine Kopie von sich selbst via TCP-Port 33333 herunter zu laden. Anschließend blocken sie den Zugriff auf Webseiten von Anti-Viren-Hersteller und öffnen eine Hintertür für weitere Kommandos.

Die drei Würmer "Zotob.D", "IRCBod.KC" und "IRCBot.KD ähneln sich in ihren Funktionen und haben es ebenso auf die vorhin beschriebene Microsoft Schwachstelle im Plug und Play Service abgesehen. Nach der ersten Attacke variieren die Würmer jedoch ihre Vorgehensweise: Während "Zotob.D" verschiedene Adware und Spyware-Programme löscht, versuchen seine Kollegen die "Zotob"-Versionen A, B und C zu eliminieren oder verschiedene Prozesse zu stoppen die von IRCBot-Varianten ausgelöst wurden. Zum Abschluss öffnen alle Schadcodes eine Hintertür auf dem jeweiligen PC über die sie auf weitere Anweisungen via IRC-Channel warten.

Der durch den Zotob-Wurm ausgelöste Orange Alert ist laut Panda immer noch aktiv. Um sich vor dem Wurm zu schützen, empfehlen die Anti-Viren-Spezialisten das entsprechende Patch von Microsoft zu installieren und die jeweils verwendete Anti-Viren-Software auf den neuesten Stand zu bringen.

Quelle ZDNet
0

#13 Mitglied ist offline   Win-Fan 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.218
  • Beigetreten: 09. Februar 05
  • Reputation: 0

geschrieben 24. August 2005 - 01:45

Zitat (swissboy: 23.08.2005, 14:28)

Nach der ersten Attacke variieren die Würmer jedoch ihre Vorgehensweise: Während "Zotob.D" verschiedene Adware und Spyware-Programme löscht, versuchen seine Kollegen die "Zotob"-Versionen A, B und C zu eliminieren oder verschiedene Prozesse zu stoppen die von IRCBot-Varianten ausgelöst wurden.
Oha, Würmer gegen Würmer oder wie jetzt? Naja, Hauptsache sie wissen noch selbst was sie wollen. :gähn:
Vieleicht gibt es ja auch bald "gute" Würmer die die "bösen" Würmer bekämpfen, spart man sich halt das AntiViren Programm und sie können sich im Hintergrund in aller Ruhe gegenseitig bekämpfen (falls man sich dann dochmal was einfängt).

Dieser Beitrag wurde von Win-Fan bearbeitet: 24. August 2005 - 01:54

Eingefügtes Bild

Nimm das Leben nicht so ernst, du kommst eh nicht lebend raus.
0

#14 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

geschrieben 24. August 2005 - 09:10

Zitat (Win-Fan: 24.08.2005, 02:45)

Oha, Würmer gegen Würmer oder wie jetzt? Naja, Hauptsache sie wissen noch selbst was sie wollen. :gähn:<{POST_SNAPBACK}>

Es ist tatsächlich so. Gemäss einem anderen Artikel (ich find ihn grad nicht mehr) bekriegen sich um die Ausnutzung der Plug and Play Sicherheitlücke mindestens zwei Wurmatoren gegenseitig und versuchen sich zu übertrumpfen. :D
0

#15 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

  geschrieben 24. August 2005 - 11:13

Windows XP SP1 für Angriffe von Plug&Play-Würmern anfällig

Zitat

In bestimmten Fällen sind auch Windows-XP-SP1-Systeme für Angriffe der Plug&Play-Würmer Zotob und Konsorten anfällig. Darauf weist Microsoft in einem am gestrigen Dienstag veröffentlichten Advisory hin. Zuvor hatte der Softwarekonzern darauf beharrt, dass über die Plug&Play-Schwachstelle nur Windows 2000 über das Netzwerk mit Schadcode infiziert werden könne. Zwischenzeitlich gab es zwar Hinweise, dass auch Windows Server 2003 verwundbar ist, wenn dort Null Sessions aktiviert sind. Dies stellte sich aber recht schnell als falsch heraus. 

Dem neuen Advisory zufolge funktioniert der Angriff aber auch, wenn auf einem XP-SP1-Rechner über die einfache Dateifreigabe Zugriffe auf Verzeichnisse eingerichtet sind. In der Standardeinstellungen wird dann nach Angabe von Microsoft automatisch das Gastkonto aktiviert. Damit ist ein gültiges Konto eingerichet, mit dem der Zugriff auf Ressourcen über das Netzwerk möglich ist -- allerdings nur, wenn der Rechner nicht Mitglied einer Domäne ist.

In der Folge funktioniert auch der Exploit und die kursierenden Würmer können das System infizieren. Bislang sind aber noch keine Fälle bekannt geworden, in dem ein derart konfiguriertes Windows befallen wurde -- wohl auch, weil es nur noch wenige XP-Rechner mit SP1 geben dürfte. Der Softwarekonzern empfiehlt weiterhin dringend, die verfügbaren Patches einzuspielen.

Windows XP mit SP2 ist von dem Gastkonto-Problem nicht betroffen. Zwar gibt es auch dort die einfache Dateifreigabe, für einen erfolgreichen Angriff genügt aber das Gastkonto nicht. Microsoft hat mit SP2 zusätzliche Sicherheitsfunktionen eingeführt, sodass ein Account erforderlich ist, mit dem auch ein Login möglich wäre.

Quelle heise online

Microsoft Security Advisory 906574


UPDATE:
Es gibt inzwischen auch eine WinFuture-News zu diesem Thema:
http://www.winfuture...news,22015.html

Dieser Beitrag wurde von swissboy bearbeitet: 26. August 2005 - 15:33

0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0