![[HaBo]](/styles/default/logoklein.png){kind=small}
N
non
Guest
Alle 15 der neuesten Würmer, die ein und dieselbe Windows-Sicherheitslücke ausnützen, installieren Hintertüren zur Fernsteuerung und verhalten sich sonst eher unauffälllig. Auch der Rest der eingebauten Funktionen legte nahe, dass damit DDOS-Attacken, Spam und Ähnliches vorbereitet werden.
Die neueste, multiple Wurmepidemie, die das Sicherheitsloch der Plug-and-Play-Schnittstelle [PnP] von Windows ausnützt, ist mit den spektakulären Wurmausbrüchen der Vergangenheit, die auf einen Schlag riesige Netzwerke in die Knie zwangen, nicht zu vergleichen. Die neuesten 15 Schädlinge - davon alleine sechs "Zotob"-Varianten - dienen einem ganz anderen Zweck. Alle 15 haben eines gemeinsam: Nach Ausnützen eines so genannten Buffer-Overflow an der erwähnten PnP-Schnittstelle "sichern" sie den befallenen Rechner erst einmal gegen das Eindringen eines weiteren Wurms. Von den "Zotob"-Varianten A-F [14. bis 15.August] über "W32.Randex.EUS" bis zum neuen "Esbot.B" [17.August] öffnen dann alle Würmer, die über PnP einfallen, auf den verschiedensten Ports eine oder mehrerere Hintertüren. Die dienen nichts anderem, als der Fernsteuerung des befallenen Rechners. Ansonsten sind die Würmer um Unauffälligkeit bemüht, die meisten deaktivieren alle auf der befallenen Maschine vorhandenen Virenscanner. Die Würmer werden zwar auch über XP und andere Varianten des Betriebssystems verbreitet, befallen aber nur Windows 2000.
Es geht um den guten alten "Win2k-Fileserver für Backups in der Büro-Ecke" bzw. um die vielen, unzureichend gewarteten Maschinen in kleineren Unternehmen mit ebenso kleinen IT-Budgets rund um die Welt, noch weniger gewartete Rechner an privaten Breitband-Verbindungen etc.
Nicht nur das Bauprinzip, sondern auch die IRC-Server [Internet Relay Chat], mit denen die genannten Würmer nach Infekt Verbindung aufnehmen, ergeben eine ziemlich deutliche Momentaufnehme dessen, was an verbotenen "Sportarten" gerade hinter den Kulissen des WWW abläuft.
Offenbar macht sich ein kleiner, notorisch verantwortungsloser Teil des Coder-Nachwuchses samt dem dazugehörigen Gefolge von relativ unbedarften Nachahmern [alias "Script-Kiddies"] einen Sport daraus, weltweit Zombie-Armeen aus befallenen Rechnern aufzustellen.
Damit kann man sowohl anderen Script-Kiddies zeigen, wo die Macht wohnt, indem man ihre IP-Adressen mit einem Anfrage-Bombardement [DDOS-Attacke] von ein paar hundert Zombies lahmlegt. Abgesehen davon, dass man hinter einer Kaskade von Zombies jeden nur erdenklichen Unsinn im Netz aufführen kann, genügen ein paar tausend infizierte Rechner auch für DDOS-Attacken der professionell- krimininellen Art.
Die Rede ist hier von Spammern, aber auch von der steigenden Zahl der Schutzgelderpressungen, denn an den Rändern der Virenschreiber-Szenen haben sich längst Kriminelle des wirklichen Lebens eingenistet.
Diese "Chronologie des Wurmkriegs" von F-Secure zeigt, wie kurz die Zeitspannen zwischen Patch und Erscheinen eines so genannten Exploits geworden sind.
Dienstag, 9. August 2005: Microsoft veröffentlicht die monatlichen Sicherheitspatches für Windows. Dazu gehörten auch einige Patches, die kritische Lücken wie die Schwachstelle in Microsofts Plug-and-Play-Service [MS05-039] schlossen.
Mittwoch, 10. August 2005: Ein Russe mit dem Pseudonym "Houseofdabus" veröffentlicht einen funktionierenden Code, der die Plug-and-Play-Sicherheitslücke ausnutzt und ermöglicht, Rechner mit dem Betriebssystem Windows 2000 zu übernehmen.
Sonntag, 14. August 2005: Der Wurm Zotob.A taucht erstmals auf. Ein Unbekannter hatte den schädlichen "Houseofdabus"-Code in einen Wurm integriert, der sich automatisch im Internet verbreitete.
Text & Quelle: futurezone.orf.at
Die neueste, multiple Wurmepidemie, die das Sicherheitsloch der Plug-and-Play-Schnittstelle [PnP] von Windows ausnützt, ist mit den spektakulären Wurmausbrüchen der Vergangenheit, die auf einen Schlag riesige Netzwerke in die Knie zwangen, nicht zu vergleichen. Die neuesten 15 Schädlinge - davon alleine sechs "Zotob"-Varianten - dienen einem ganz anderen Zweck. Alle 15 haben eines gemeinsam: Nach Ausnützen eines so genannten Buffer-Overflow an der erwähnten PnP-Schnittstelle "sichern" sie den befallenen Rechner erst einmal gegen das Eindringen eines weiteren Wurms. Von den "Zotob"-Varianten A-F [14. bis 15.August] über "W32.Randex.EUS" bis zum neuen "Esbot.B" [17.August] öffnen dann alle Würmer, die über PnP einfallen, auf den verschiedensten Ports eine oder mehrerere Hintertüren. Die dienen nichts anderem, als der Fernsteuerung des befallenen Rechners. Ansonsten sind die Würmer um Unauffälligkeit bemüht, die meisten deaktivieren alle auf der befallenen Maschine vorhandenen Virenscanner. Die Würmer werden zwar auch über XP und andere Varianten des Betriebssystems verbreitet, befallen aber nur Windows 2000.
Es geht um den guten alten "Win2k-Fileserver für Backups in der Büro-Ecke" bzw. um die vielen, unzureichend gewarteten Maschinen in kleineren Unternehmen mit ebenso kleinen IT-Budgets rund um die Welt, noch weniger gewartete Rechner an privaten Breitband-Verbindungen etc.
Nicht nur das Bauprinzip, sondern auch die IRC-Server [Internet Relay Chat], mit denen die genannten Würmer nach Infekt Verbindung aufnehmen, ergeben eine ziemlich deutliche Momentaufnehme dessen, was an verbotenen "Sportarten" gerade hinter den Kulissen des WWW abläuft.
Offenbar macht sich ein kleiner, notorisch verantwortungsloser Teil des Coder-Nachwuchses samt dem dazugehörigen Gefolge von relativ unbedarften Nachahmern [alias "Script-Kiddies"] einen Sport daraus, weltweit Zombie-Armeen aus befallenen Rechnern aufzustellen.
Damit kann man sowohl anderen Script-Kiddies zeigen, wo die Macht wohnt, indem man ihre IP-Adressen mit einem Anfrage-Bombardement [DDOS-Attacke] von ein paar hundert Zombies lahmlegt. Abgesehen davon, dass man hinter einer Kaskade von Zombies jeden nur erdenklichen Unsinn im Netz aufführen kann, genügen ein paar tausend infizierte Rechner auch für DDOS-Attacken der professionell- krimininellen Art.
Die Rede ist hier von Spammern, aber auch von der steigenden Zahl der Schutzgelderpressungen, denn an den Rändern der Virenschreiber-Szenen haben sich längst Kriminelle des wirklichen Lebens eingenistet.
Diese "Chronologie des Wurmkriegs" von F-Secure zeigt, wie kurz die Zeitspannen zwischen Patch und Erscheinen eines so genannten Exploits geworden sind.
Dienstag, 9. August 2005: Microsoft veröffentlicht die monatlichen Sicherheitspatches für Windows. Dazu gehörten auch einige Patches, die kritische Lücken wie die Schwachstelle in Microsofts Plug-and-Play-Service [MS05-039] schlossen.
Mittwoch, 10. August 2005: Ein Russe mit dem Pseudonym "Houseofdabus" veröffentlicht einen funktionierenden Code, der die Plug-and-Play-Sicherheitslücke ausnutzt und ermöglicht, Rechner mit dem Betriebssystem Windows 2000 zu übernehmen.
Sonntag, 14. August 2005: Der Wurm Zotob.A taucht erstmals auf. Ein Unbekannter hatte den schädlichen "Houseofdabus"-Code in einen Wurm integriert, der sich automatisch im Internet verbreitete.
Text & Quelle: futurezone.orf.at