|
Update: Bozori.a löst größte Virenplage des Jahres aus Veröffentlicht am: 26.08.2005 20:36:30 Bereits 10 Stunden nach seiner Entdeckung hat er einige der größten Konzerne angegriffen. Unter anderem sind die Windowsrechner von CNN, ABC News, der New York Times und dem US Kongress betroffen. Der Virus nutzt dabei eine Sicherheitslücke im Windows Plug & Play System, für die von Microsoft bereits am 9. August dieses Jahres ein Patch zur Verfügung gestellt wurde. Seither sind etwa 10 bösartige Angriffstools aufgetaucht, die sich diese Lücke zu Nutze machen wollten. Die aktuelle Angriffswelle ist jedoch die bei weitem größte. Dafür hat der Virus auch gleich mehrere Namen erhalten. So nennt ihn Symantec Zotob.e, Trend Micro WORM_RBOT.CBQ, McAfee IRCBot.Worm, Sophos Tpbot-A. Bei Kaspersky Lab läuft er unter dem Namen Net-Worm.Win32.Bozori.a und schlussendlich hat ihn F-Secure auf den Namen Zotob.d getauft. Trotz der breiten Streuung des Bösewichts fällt die Wirkung auf einen angegriffenen Rechner verhältnismäßig harmlos aus. So ist auch kein Anstieg des weltweiten Traffics zu bemerken. (Bei der Sasser Epidemie im Mai 2004 stieg der Mailverkehr um 20 bis 40 Prozent an) Einmal installiert kopiert sich der Wurm als wintbp.exe ins Systemverzeichnis und öffnet ein backdoor, durch das Befehle über IRC Kanäle empfangen werden können. Er selbst öffnet einen TFTP Server und versucht andere Rechner zu kontaktieren. Antworten diese, legt Bozori.a via TCP Port 8594 eine Kopie von sich selbst auf sein neues Opfer. Dort wird eine Fehlermeldung angezeigt und eventuell wird der Rechner neu gebootet. Aufgrund aller gesammelten Daten will man bei Kaspersky jedoch nicht von einer Epidemie sprechen, mahnt jedoch erneut, den Computer mit Sicherheitsupdates immer am aktuellsten Stand zu halten. Christoph Puhl www.kaspersky.com ==================================================== UPDATE ==================================================== Nur wenige Tage nach dem ersten Auftreten des Virus wurde laut einer arabischen Presseagentur der mutmaßliche Autor in Marokkos Hauptstadt Rabat festgenommen. Nach Ermittlungen des FBI soll der erst 18-jährige Hacker, der vermutlich Komplizen in der Türkei haben soll, den Virus aus finanziellen Überlegungen geschrieben haben. Er hatte auch Kontakte zu einer Gruppe, die sich auf die Fälschung von Kreditkarten spezialisiert hat. |