Die ersten Bots nutzen Windows Wurmloch

Diskutiere Die ersten Bots nutzen Windows Wurmloch im IT-News Forum im Bereich News; http://www.pcwelt.de/imgserver/bdb/42000/42004/168x168_only_scaled.jpg Die kürzlich bekannt gewordene Sicherheitslücke im Server-Dienst von Windows wird zum Aufbau neuer Botnets ausgenutzt. Was sich bereits kurz nach Veröffentlichung des Microsoft Security ...


+ Antworten + Neues Thema erstellen

(Um antworten zu können, bitte registrieren oder einloggen)

Ergebnis 1 bis 1 von 1
  1. Die ersten Bots nutzen Windows Wurmloch #1
    Moderator Avatar von Eric-Cartman

    Die ersten Bots nutzen Windows Wurmloch

    http://www.pcwelt.de/imgserver/bdb/42000/42004/168x168_only_scaled.jpg

    Die kürzlich bekannt gewordene Sicherheitslücke im Server-Dienst von Windows wird zum Aufbau neuer Botnets ausgenutzt.

    Was sich bereits kurz nach Veröffentlichung des Microsoft Security Bulletins MS06-040 andeutete , hat sich inzwischen bestätigt. Die ersten Schädlinge sind gesichtet worden, die diese Schwachstelle ausnutzen, wie das Internet Storm Center ( ISC ) am Sonntag berichtet hat.

    Es handelt sich um modifizierte Versionen bekannter IRC-Bots aus der "MocBot"-Familie. Sie setzen bereits seit 2005 dieselben IP-Adressen und Kontroll-Server in China ein. Der Unterschied zwischen den neuen und alten Versionen besteht darin, dass der bislang verwendete Exploit MS05-039 durch den neueren MS06-040 ersetzt wurde. Die Verbreitung erfolgt auf unterschiedlichen Wegen, etwa über Instant Messenger oder getarnt als Bild (zum Beispiel als JPG-Datei).

    Einmal eingeschleust, verwandeln sie den PC in einen Teil eines Botnets. Er dient dann als Spam-Schleuder oder für konzertierte Angriffe auf Web-Server. Ist ein Rechner mit einem solchen Bot verseucht, können die Bots auf Befehl ihrer Master beliebige weitere Malware installieren. Es bleibt nur eine komplette Neuinstallation, wenn Sie einigermaßen sicher sein wollen, dass Ihr PC wieder Ihnen allein gehört.

    Die Schädlinge installieren sich, je nach Variante, mit den Dateinamen "wgareg.exe" oder "wgavm.exe" im System-Verzeichnis von Windows. Sie legen einen neuen Dienst an, der sich "Windows Genuine Advantage Registration Service" oder auch "Windows Genuine Advantage Validation Monitor" nennt. Dann scannen sie das lokale Netzwerk nach weiteren anfälligen Computern, um sie anzugreifen. Sie verursachen dabei auf dem Zielrechner einen Pufferüberlauf, wodurch übermittelte Anweisungen zum Laden und Ausführen des Schädlings aktiv werden.

    Wie das Microsoft Sicherheits-Team in seinem Blog mitteilt, sind bisher nur Rechner mit Windows 2000 betroffen, auf denen das Sicherheits-Update MS06-040 nicht installiert ist. Die beiden entdeckten Bot-Varianten werden bei Microsoft "Win32/Graweg.A" und "Win32/Graweg.B" genannt. Die bereits am Freitag veröffentlichte Sicherheitsempfehlung 922437 ist am Sonntag überarbeitet worden, um neu gewonnenen Erkenntnissen Rechnung zu tragen.

    Darin empfiehlt Microsoft die umgehende Installation der neuesten Sicherheits-Updates sowie die Sperrung der Ports 139 und 445 in den Firewalls. Die neu entdeckten Schädlinge sind bislang nicht sehr weit verbreitet, das kann sich jedoch in den nächsten Tagen schnell ändern. Es muss außerdem mit weiteren Schädlingen gerechnet werden, die diese Sicherheitslücke ausnutzen werden.

    Erkennung durch Antivirus-Software:

    Antivirus Malware-Variante 1 Malware-Variante 2

    1. AntiVir Worm/IRCBot.9374 Worm/IRCBot.9609
    2. Avast! -/- -/-
    3. AVG -/- -/-
    4. BitDefender Backdoor.IRCBot.ST Backdoor.IRCBot.ST
    5. ClamAV Trojan.IRCBot-690 Trojan.IRCBot-689
    6. Command AV W32/Threat-HLLIM-based!Maximus W32/Threat-HLLIM-based!Maximus
    7. Dr Web Win32.HLLW.Nert Win32.HLLW.Nert
    8. eSafe Win32.IRCBot.jk Win32.IRCBot.jl
    9. eTrust-INO Win32/Cuebot.K!Worm Win32/Cuebot.J!Worm
    10. eTrust-VET Win32/Cuebot.K Win32/Cuebot.J
    11. Ewido Backdoor.IRCBot.st -/-
    12. F-Prot W32/Threat-HLLIM-based!Maximus W32/Threat-HLLIM-based!Maximus
    13. F-Secure Backdoor.Win32.IRCBot.st Backdoor.Win32.IRCBot.st
    14. Fortinet W32/IRCBot.040!tr.bdr W32/Cuebot.L!tr.bdr
    15. Ikarus -/- -/-
    16. Kaspersky Backdoor.Win32.IRCBot.st Backdoor.Win32.IRCBot.st
    17. McAfee IRC-Mocbot!MS06-040 IRC-Mocbot!MS06-040
    18. Microsoft Backdoor:Win32/Graweg.B Backdoor:Win32/Graweg.A
    19. Nod32 Win32/IRCBot.OO Win32/IRCBot.OO trojan
    20. Norman W32/Suspicious_M.gen W32/Suspicious_M.gen
    21. Panda Suspicious (W32/Oscarbot.KD.worm)* Suspicious (W32/Oscarbot.KD.worm)*
    22. QuickHeal Wargbot.a Wargbot.b
    23. Sophos W32/Cuebot-M W32/Cuebot-L
    24. Symantec W32.Wargbot W32.Wargbot
    25. Trend Micro WORM_IRCBOT.JK WORM_IRCBOT.JL
    26. UNA -/- -/-
    27. VBA32 -/- -/-
    28. VirusBuster Backdoor.IRCBot.AAG Backdoor.IRCBot.AAH
    29. WebWasher Worm.IRCBot.9374 Worm.IRCBot.9609
    30. GData AVK ** Backdoor.Win32.IRCBot.st Backdoor.Win32.IRCBot.st


    Quelle: AV-Test , Stand: 14.08.2006, 3 Uhr

    * noch nicht in den offiziellen Updates enthalten
    ** mutmaßliche Erkennung auf Basis von Kaspersky und Bitdefender

    Quelle: IDG Magazine Verlag GmbH/PC-WELT Online

  2. Hi,

    schau dir mal diesen Ratgeber an. Dort findet man viele Hilfestellungen.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren

Ähnliche Themen zu Die ersten Bots nutzen Windows Wurmloch


  1. Windows 7-Bereitstellung - nutzen Sie den Windows 7 Deployment Plan: Mit dem Windows 7 Deployment Plan bekommen Sie eine Muster-Checkliste an die Hand, mit der Sie die Meilensteine und Aufgaben für alle Phasen des...



  2. Premiere: Windows 7 – Die ersten Screenshots: http://www.winboard.org/forum/imagehosting/1376045b14d895687e.gif Im Internet sind die ersten Screenshots aufgetaucht, die aus einer aktuellen...



  3. [DE] Microsoft präsentiert: Die ersten Windows Home Server für Deutschland: http://www.winboard.org/forum/imagehosting/1376045b14d895687e.gif http://www.winboard.org/forum/imagehosting/1376046092ed3ae69e.bmp Geht es...



  4. Ein Wurm für das Wurmloch: http://www.pcwelt.de/imgserver/bdb/6500/6515/168x168_only_scaled.jpg Ein Wurm aus der Randex-Familie nutzt die kürzlich bekannt gewordene...



  5. Wurmloch in Symantec Antivirus: http://www.pcwelt.de/imgserver/bdb/40600/40605/original.jpg Aktuelle Antivirus-Produkte von Symantec weisen eine Schwachstelle auf, die das...