Neuer Wurm nutzt Windows-Sicherheitslücke

Über die im Rahmen des jüngsten Patch-Days berichtete Plug&Play-Sicherheitslücke in Windows 2000-Systemen verbreitet sich ein neuer Internetwurm. Der auf dem in vielfältigen Varianten kursierenden Mytob-Wurm basierende Zotob.A befällt Rechner, auf denen weder der entsprechende Sicherheits-Patch, noch eine Firewall installiert sind. Dadurch kann ein Angreifer die vollständige Kontrolle über den PC übernehmen. Windows 2000-Rechner sind für eine Infektion mit dem Wurm anfällig, da zum Zugriff auf die Plug&Play-Services keine Authentifizierung notwendig ist. In bestimmten Fällen ist auch Windows Server 2003 für diese Bedrohung anfällig.

Nach Angaben von Panda Software [Link entfernt] scant Zotob.A auf infizierten Rechnern IP-Adressen durch den Port 445, um weitere verwundbare Systeme zu finden. Der Wurm verfügt über einen IRC-Client (Internet Relay Chat), durch den er sich mit einem IRC Server verbinden und so neue Kommandos zur Steuerung des Rechners empfangen kann. Ein Zutun des Users ist für ein Ausnutzen der Sicherheitslücke nicht nötig. Laut Microsoft sind User mit anderen Betriebssystem-Versionen wie Windows ME oder XP nicht gefährdet.

Microsoft hat sein Sicherheits-Update um Informationen zu Zotob.A ergänzt. Windows 2000-User, die den Patch noch nicht eingespielt haben, sollten dies schleunigst nachholen, rät Microsoft. Inzwischen stehen alle am vergangenen Dienstag veröffentlichten Patches auf der Microsoft-Website zum Download bereit, nachdem zunächst ein fehlerhaftes Update für den Internet Explorer angeboten wurde. Dabei verhinderte offenbar eine falsche digitale Signatur, dass der Download ausgeführt werden konnte.