Ein Wurm für das Wurmloch

Diskutiere Ein Wurm für das Wurmloch im IT-News Forum im Bereich IT-News; Ein Wurm aus der Randex-Familie nutzt die kürzlich bekannt gewordene Sicherheitslücke im Server-Dienst von Windows. Mit dem Security Bulletin...
#1
Eric-Cartman

Eric-Cartman

Moderator
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
37
Ort
In Windows Nr. 10


Ein Wurm aus der Randex-Familie nutzt die kürzlich bekannt gewordene Sicherheitslücke im Server-Dienst von Windows.

Mit dem Security Bulletin MS06-040 hat Microsoft ein Sicherheits-Update bereit gestellt, das eine Anfälligkeit im Server-Dienst von Windows beseitigen soll. Nachdem bereits ein Trojanisches Pferd namens " Mocbot " diese Schwachstelle ausnutzt, berichtet der Antivirus-Hersteller Symantec über eine neue Variante eines Wurms, der sich über diese Sicherheitslücke ausbreitet.

Der Wurm wird von Symantec als " W32.Randex.GEL " bezeichnet und stellt eine weitere Variante der bereits länger bekannten Randex-Familie dar. Würmer dieses Typs beherrschen eine ganze Reihe von Methoden sich auszubreiten, darunter auch die Ausnutzung bekannter Sicherheitslücken. Bei McAfee wird er als " W32/Sdbot.worm!MS06-040 " geführt.

Der Wurm Randex.GEL kann sich mit Hilfe der Instant Messenger von AOL, ICQ, MSN und Yahoo verbreiten. Ferner nutzt er Netzwerkfreigaben und Microsoft-SQL-Server sowie vier bekannte Sicherheitslücken in Windows, von denen bei dieser Wurm-Variante lediglich der Pufferüberlauf im Server-Dienst neu hinzu gekommen ist.

Der Schädling legt eine Kopie von sich als "javanet.exe" im System-Verzeichnis von Windows ab und trägt diese als neuen Dienst in die Registry ein:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
"MS Java for Windows XP & NT" = "javanet.exe"

Außerdem manipuliert er einen weiteren Registry-Schlüssel, um bei jedem Start von Windows geladen zu werden:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windlogon
"Shell" = "Explorer.exe javanet.exe"
"Userinit" = "%System%Serinit.exe,javanet.exe"

Der Wurm Randex.GEL öffnet eine Hintertür ins System, indem er auf dem TCP-Port Kontakt mit einem IRC-Server (Internet Relay Chat) aufnimmt. Er wartet auf Kommandos, die ihn zum Beispiel anweisen können Dateien herunter zu laden, laufende Prozesse zu stoppen, DoS-Angriffe (Denial of Service) zu starten oder Tastatureingaben zu protokollieren. Nicht zuletzt spioniert er auch noch Anmeldedaten für die Online-Bezahldienste E-Gold und Paypal aus.

Quelle:IDG Magazine Verlag GmbH/PC-WELT Online
 
Thema:

Ein Wurm für das Wurmloch

Ein Wurm für das Wurmloch - Ähnliche Themen

  • Deutsche Forscher entwickeln Netzwerk-Scan für Conf*cker-Wurm

    Deutsche Forscher entwickeln Netzwerk-Scan für Conf*cker-Wurm: Quelle und ganzer Bericht bei Heise.de
  • Conf*cker-Wurm - Microsoft bringt Update für Windows Autorun

    Conf*cker-Wurm - Microsoft bringt Update für Windows Autorun: Microsoft hat eine Sicherheitsmitteilung veröffentlicht, in der es die Bereitstellung eines Updates für die Autorun-Funktion von Windows...
  • Con****er-Wurm - 250.000 US-Dollar von Microsoft für Hinweis

    Con****er-Wurm - 250.000 US-Dollar von Microsoft für Hinweis: Eine Belohnung von 250.000 US-Dollar verspricht Microsoft für Informationen, die zur Festnahme der Urheber des Wurms Con****er alias Downadup...
  • Patch-Pleite für XP: Wurm Con****er/Downadup nutzt Autostart

    Patch-Pleite für XP: Wurm Con****er/Downadup nutzt Autostart: Sicherheitsmaßnahme bleibt fruchtlos - lesen Sie hier, warum bei Windows 2000 und XP dem Wurm Con****er/Downadup immer noch Tür und Tor geöffnet...
  • BadBunny: OpenOffice-Wurm für Windows, Mac und Linux entdeckt!

    BadBunny: OpenOffice-Wurm für Windows, Mac und Linux entdeckt!: Hallo! News von ModellbahnerTT BadBunny: OpenOffice-Wurm für Windows, Mac und Linux entdeckt! Sophos berichtet von einem OpenOffice-Wurm, der...
  • Ähnliche Themen

    Oben