tuxler
Goto Top

Zotob: Wurmangriff von innen

Kurz nach Mitternacht unterbricht CNN sein laufendes Programm
wegen eines aktuellen Beitrags: Kein Terroranschlag, sondern der
Angriff eines Computerwurms ist der Anlass. Der Grund: Büros von
CNN sind betroffen, die New York Times, ABC, Capitol Hill, Disney
und viele andere Unternehmen in den USA und weltweit.

Diagnose:
Wurm Zotob nutzt eine Sicherheitslücke in der Plug-and-Play
Komponente von Windows 2000 aus. Zotob scannt andere Systeme danach,
ober der Port 445/tcp erreichbar und das System verwundbar ist, um sich
weiter zu verbreiten. Bei Erfolg baut er via FTP eine Verbindung zu seinem
Ursprungsrechner auf und vervollständigt seinen Code, der als
haha.exe gespeichert und ausgeführt wird. Im System speichert sich
Zotob in der Registry und wird bei jedem Systemstart aktiviert. Darüber
hinaus verhindert der Wurm Zugriffe auf diverse Internet-Adressen,
darunter die zahlreicher Hersteller von Antiviren Software, sodass
Updates nicht heruntergeladen werden können.

Ursache:
Am Dienstag, den 9. August veröffentlichte Microsoft in seinem
Security Bulletin MS05-039 die Sicherheitslücke und stellt einen Patch
zur Verfügung. Nur einen Tag später verbreiten Hacker im Netz die
Information, wie diese Sicherheitslücke ausgenutzt werden kann. Am
Sonntag werden dann bereits 6 Varianten des Zotob-Wurms gezählt,
die sich dieser Schwachstelle bedienen. Inzwischen nutzen auch
diverse Schädlinge anderer Virenfamilien dieselbe Sicherheitslücke
aus. Die Würmer finden ihre Wirte in Netzwerken, deren Windows
2000 PCs noch nicht auf dem aktuellen Sicherheitsstand und auch
nicht durch eine Desktop-Firewall geschützt sind. Die meisten erreichte
Zotob über infizierte Notebooks, die von Mitarbeitern in das Netzwerk
gebracht wurden.

Symptome:
Infizierte Rechner fahren nach dem Start das Betriebssystem wieder
herunter, um anschließend sogleich einen Neustart durchzuführen.
Diese Prozedur wiederholt sich beliebig oft.

Prophylaxe:
Besser als jede Therapie sind Maßnahmen, die Infektionen dieser Art
und die Verbreitung zukünftiger Würmer im Netzwerk verhindern. Die
meisten Unternehmen verfügen bereits über eine Gateway-Firewall
und scannen ihren eMail-Verkehr. Beides schützt nicht vor
Bedrohungen wie Zober. Die aktuelle Angriffswelle lenkt die
Aufmerksamkeit auf eine Schwachstelle, die an Bedeutung gewinnt:
die zunehmende Mobilität der Mitarbeiter und ihrer Rechner und damit
die Gefahr, dass Netzwerk-Würmer unter Umgehung der Internet-
Firewall in das Firmennetz eingeschleust werden.

Es gibt bereits Lösungen, die auch diese Schwachstelle zuverlässig
beseitigen. So können interne Workstations und extern eingesetzte
Notebooks mit einer zentral verwalteten Software-Suite ausgerüstet
werden, die Virenscanner und Personal Firewall kombiniert und vor
netzwerkbasierten Angriffen wie Würmer schützt. Noch mehr
Sicherheit bietet eine "Netzwerk-Quarantäne". Diese erzwingt für
Rechner, die sich von außerhalb mit dem Netzwerk verbinden bzw. als
mobile Workstations intern angeschlossen werden, aktuelle
Virendefinitionen und Sicherheitseinstellungen, bevor eine Verbindung
mit dem übrigen Firmennetz aufgebaut werden kann.
Eine zentrale Anwendungssteuerung erlaubt es Netzwerkadministratoren,
die Anwendungen auf allen Arbeitsstationen zu kontrollieren.
Programme, die Hacker oder Würmern ein Eindringen in das Netzwerk
ermöglichen, können somit erst gar nicht ausgeführt werden.

Ouelle: Dunkel eSecurity Team

Content-ID: 14881

Url: https://administrator.de/contentid/14881

Ausgedruckt am: 24.11.2024 um 16:11 Uhr

12217
12217 25.08.2005 um 08:30:30 Uhr
Goto Top
Ich hasse Werbung...
tuxler
tuxler 25.08.2005 um 08:42:10 Uhr
Goto Top
Hallo,

ja da ha(s)st du schon recht.
Hab jetzt auch die entsprechenden Stellen gelöscht, aber die Quellenangabe ist nicht zu vermeiden, und auch nicht so schlimm denke ich.

Ansonsten ist es ja nur eine Info über den Zotob Wurm.
12217
12217 26.08.2005 um 16:59:07 Uhr
Goto Top
Hi,

ich denke, das es für Vireninformationen bessere Quellen gibt, bzw. Informationen zu neuen Viren nicht unbedingt in dieses Forum gehören aus folgenden Gründen
- es gibt fast täglich neue Viren und die würden das Forum unübersichtlicher machen
- jeder Virenhersteller bietet einen eigenen News Service an, der per Email oder RSS betrachtet werden kann und ist dadurch zeitnaher als ein Forum
- die Bezeichnung des Virus kann von Hersteller zu Hersteller unterschiedlich sein und das kann zu Irritationen führen
- wirklich "böse" Viren werden auch auf www.heisec.de bei Neuerscheinung aufgeführt

mfg
DrOktagon