Zotob-Wurm hat sein Hoch überschritten

Der neue Wurm ‘Zotob’ betrifft nach neuesten Erkenntnissen aus dem Hause Microsoft ausschließlich die Plug-and-Play-Komponente des Betriebssystems Windows 2000. Systeme, die auf Windows XP Service Pack 2 und Windows Server 2003 basieren, sind von der Malware entgegen erster anders lautender Meldungen nicht unmittelbar in Gefahr.

Dass auch Windows XP Service Pack 2 oder Windows Server 2003 von den beiden Zotob-Varianten a und b betroffen sein können, hatten verschiedene Medien gemeldet. In gewisser Weise haben sie Recht. Denn laut Microsoft könnte ein Hacker auch dort den existierenden Exploit nutzen, nämlich dann, wenn er sich direkt an den Rechner setzte. Remote, bei aktivierten so genannten ‘NULL Sessions’, ist die Lücke in diesen Systemen nicht zu nutzen.

Zotob scannt IP-Adressen durch den Port 445, um verwundbare Systeme zu finden. Der Wurm verfügt über einen IRC-Client, durch den er sich mit einem IRC Server verbinden und so neue Kommandos zur Steuerung des Rechners empfangen kann, beschreibt Panda Software die Malware. Eine Möglichkeit wäre dabei, den Rechner als Zombie für den Angriff weiterer Systeme zu missbrauchen.

Das Internet Storm Center, Teil des SANS-Instituts, hat inzwischen bekannt gegeben, dass bis auf weiteres keine neuen Exploit-Varianten des Zotob-Wurms aufgetaucht sind. Dennoch sollten Anwender Port 445 schließen, den Patch schnell aufspielen und vor allem die NULL-Sessions deaktivieren.

Die Vorfälle um Zotob, der nach dem Security-Bulletin MS05-039 von Microsoft auf die Reise ging, zeigten aber erneut, dass Hacker den Anwendern keine Zeit mehr zum Patchen der Lücken ließen.