(27.11.2008, 11:13)heise.de schrieb:Windows-Wurm nimmt an Fahrt auf
Microsoft beobachtet derzeit die zunehmende Verbreitung eines neuen Windows-Wurms, der die seit mehreren Wochen bekannte Lücke in den RPC-Funktionen des Server-Dienstes ausnutzt, um in Systeme einzudringen. Insbesondere in Firmennetzen soll die derzeit beobachtete Variante Conficker.A an Fahrt zunehmen. Die meisten Meldungen liegen nach Angaben des Microsoft Malware Protection Centers aus den USA vor. Aber auch Kunden aus Europa, Asien und Südamerika seien betroffen. Zudem lägen Microsoft Berichte von mehreren hundert Heimanwendern vor.
Conficker öffnet auf infizierten Systemen einen Port, auf dem ein Webserver-ähnlicher Dienst laufen soll. Von dort kann ein System eine Kopie des Wurms nachladen, nachdem es initial infiziert wurde. Interessanterweise spielt der Wurm auf infizierten System den Patch zum Schließen der Sicherheitslücke ein, was aber weniger aus Freundlichkeit geschieht, sondern eher zum Ziel hat, andere RPC-Würmer draußen zu halten. Zusätzlich fragt Conficker diverse Webseiten ab, um die nach außen erscheinende IP-Adresse sowie die aktuelle Zeit zu ermitteln. Anhand der Zeit generiert der Wurm laut Symantec eine Liste von Domains, mit denen er Kontakt aufnimmt, um weiteren Code nachzuladen.
Schutz vor Conficker bietet weiterhin die Installation des Sicherheits-Updates von Microsoft sowie eine aktive Firewall, wobei die seit Windows XP integrierte und seit SP2 standardmäßig aktive Firewall in der Regel vollkommen ausreicht. Anwender sollten sicherheitshalber aber die Einstellungen überprüfen und sicherstellen, dass nicht ungewollt Ausnahmen definiert sind, die doch den Zugriff auf Dienste erlauben, die für die RPC-Lücke anfällig sind – etwa die Datei- und Druckfreigabe.
der beitrag auf heise ist zwar schon n bissl älter, aber zeigt das problem leicht verständlich auf - vorallem wichtig, wenn man sich noch nicht mit dem virus beschäftigt hat.
die aktuelle, kürzlich von mir in der plauderecke erwähnte meldung auf computerbase.de vom 28.03. erwähnt neben ein paar aktuelleren infos, dass der virus sich weiterentwickelt hat & am ersten april höchstwahrscheinlich neue codes nachladen wird - ob dann eine neue virenwelle ausbrechen wird, wie meist angenommen, stellt diese meldung auf heise.de vom 30.03. aber in frage. sie erklärt auch recht anschaulich, warum dieser virus so schwierig in den griff zu bekommen ist - zb registriert er weltweit eigenmächtig 50.000 domains täglich, von denen er neue schadcodes herunterladen könnte.
hochinteressant ist diese meldung von heise.de von heute nacht - zwei informatiker der bonner universität haben den wurm analysiert & es wird ausführlich beschrieben, wie er funktioniert.
zu guter letzt noch die wikipedia-seite & eine auflistung, welche dateien, der wurm verändert & erstellt.
greets
mr.tommi
mr.tommi