Computerwurm befällt Netzwerke von CNN und NewYorkTimes

[stieglitz]

http://www.spiegel.de/netzwelt/technologie/0,1518,370060,00.html

In den USA verbreitet sich ein Computervirus, das Windows-Rechner angreift. Die Virus-Attacke war in der Nacht live im Fernsehen zu bestaunen: Bei CNN führten aufgeregte Redakteure ihre verrückt spielenden Computer vor. Auch andere Medien-Unternehmen waren betroffen.

Dazu habe ich noch ein Yellow Alert von Trend Micro

YELLOW ALERT - WORM_RBOT.CBQ - 17.08.2005 (Yellow Alert):





As of August 16, 2005 at 5:12 PM (Pacific Daylight Time), TrendLabs has declared a Medium Risk alert in order to control the spread of this RBOT variant. Infection reports have been received from Brazil and the United States.
This memory-resident worm drops a copy of itself in the Windows system folder as the file WINTBP.EXE.
It takes advantage of the Microsoft Windows Plug and Play vulnerability to propagate across networks. For more information regarding this vulnerability, refer to the following Microsoft Web page:
Microsoft Security Bulletin MS05-039
This worm also connects to an IRC server, joins a specific channel and then sends the following messages:
{Random} :ER DL FH
{Random} :ER DL IF
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.CBQ



Satisfied with TREND MICRO's Virus Outbreak Services? - Please rate!
http://www.trendmicro-europe.com/alert_survey


Update your subscription profile:
http://de.trendmicro-europe.com/enterprise/about_us/change.php?id=9947

Und hier natürlich auch:
http://www.heise.de/newsticker/meldung/62874

 

[Captain Picard]

Re: Computerwurm befällt Netzwerke von CNN und New York Tim

http://www.spiegel.de/netzwelt/technologie/0,1518,370060,00.html

In den USA verbreitet sich ein Computervirus, das Windows-Rechner angreift. Die Virus-Attacke war in der Nacht live im Fernsehen zu bestaunen: Bei CNN führten aufgeregte Redakteure ihre verrückt spielenden Computer vor. Auch andere Medien-Unternehmen waren betroffen.

nach den Erfahrungen mit Sasser und Lovesan ist es schon erstaunlich wie schlampig deren Sysadmins
offensichtlich arbeiten. Die Warnung vor Zotop und der Hinweis, dass dringend der Patch erforderlich ist , ist seit Tagen bekannt

Nach Informationen der Antiviren-Hersteller läuft der Wurm nicht nur auf Windows 2000, sondern kann, auf Systemen mit Windows 95/98/Me, NT4 und Windows XP gestartet, diese Systeme nutzen, um andere Rechner, die übers Netz erreichbar sind, zu infizieren.
..
Anwender sollten so schnell wie möglich die von Microsoft herausgegebenen Patches für die jüngst bekannt gewordenen Sicherheitslücken, darunter das Leck in der Plug&Play-Schnittstelle, installieren

http://www.microsoft.com/technet/security/advisory/899588.mspx
http://www.microsoft.com/technet/security/bulletin/MS05-039.mspx

Recommendation: Customers should apply the update immediately.

cp

 

[stieglitz]

Nachdem bereits am Wochenende die ersten Varianten auftauchten, sehen sich die Anti Viren-Spezialisten nun mit einer ganzen Welle neuer Versionen konfrontiert, die durch Updates der AV-Datenbanken allein kaum noch gestoppt werden können.

Jeweils nach wenigen Minuten tauche ein neuer Zotob-Wurm auf, hieß es beim japanischen Unternehmen Trend Micro. "Wir sind noch immer damit beschäftigt, Infektionsberichte zu sichten", sagte Joe Hartmann, Direktor der Antivirus Research-Gruppe der Firma. Das Auftreten der Maleware wurde weltweit beobachtet, Symptome zeigen sich beispielsweise in mehrfachen spontanen Neustarts von Rechnern.

http://de.internet.com/index.php?id=2037608&section=Security

Wenn die Viren so schnell mutieren, ist das natürlich schon ein Problem.
Wir z.B. daten stündlich die Neuen Vireninformationen ab. Aber wenn einer ganz neu ist, kann er schon mal durchrutschen.
Auch die neuesten Windows-Patches werden bei uns laufend aufgespielt. Da danach jedoch ein Neustart des Servers erforderlich ist, was im lfd. Betrieb nicht immer möglich ist, kann das schon mal zu Zeitverzögerungen führen. Und wenn alles dumm läuft, kann man schon mal infiziert werden.

 

[Captain Picard]

es war seit Tagen bekannt. Nochmal, nach Lovesan und Sasser ist das alles keine Entschuldigung mehr
Dringend heißt dringend, der Verlust an Arbeitzeit ist 10mal größer, wenn ein ganzes Firmennetzwerk infiziert wird.

Dann ist ja auf einmal Zeit in Hülle und Fülle vorhanden, die Kinder wieder aus dem Brunnen zu ziehen.....

 

[Counselor]

Ich registriere heute auch bei mir mehr unerwünschte Firewallaktivitäten als sonst. Es betrifft hauptsächlich Port 1433 (MS SQL Server). Frage mich, ob das mit diesem Wurm zusammenhängt.

 

[Captain Picard]

wie unterschiedlich die Aussagen sind
http://www.spiegel.de/netzwelt/technologie/0,1518,370060,00.html

Microsoft wiegelte unterdessen ab. "Wir haben keine große Zunahme gesehen", sagte eine Sprecherin der Microsoft-Sicherheitsabteilung mit Blick auf "Zotob". "Eine ziemlich kleine Zahl von Nutzern ist befallen.

http://www.tecchannel.de/news/themen/sicherheit/431619/

Zotob: Neuer Wurm verbreitet sich rapide
Ein neuer Wurm nutzt eine Schwachstelle in der Plug-and-Play-Funktion von Windows 2000. Laut Microsoft sind Systeme mit Windows XP und Windows 2003 Server nicht betroffen.

Die Wurmfamilie Zotob.A bis Zotob.C sowie der Trojaner Backdoor.Win32.IRCBot.es. nutzen eine Lücke in der Plug-and-Play-Funktion. Die Lücke MS05-039 wurde im August-Patch-Day behoben.

cp

 

[Captain Picard]

vorhin mal gerade eine Newsmeldung jetzt schon über 100...

http://news.google.de/nwshp?hl=de&tab=wn&q=Zotob

zB.
http://www.rp-online.de/public/article/nachrichten/medien/internet/102796

WINDOWS 2000
BSI warnt vor Computerwurm Zotob

http://www.presseportal.de/story.htx?nr=713661&ressort=5

http://www.bsi.de/av/vb/ZotobE.htm

Entfernung

Der Wurm kann möglicherweise nicht im laufenden System entfernt werden:

* der laufende Prozess blockiert die Datei
* Windows schützt das Verzeichnis, in dem sich das Programm befindet

cp

 

[stieglitz]

Eine Aktuelle Meldung bei Heise:

Trotz der Dubletten ist die Zahl der Zotob-Varianten beeindruckend. Offenbar stammen die Schädlinge von mehreren konkurrierenden Programmierern. Nach Einschätzung von F-Secure könnte es sich um einen Wettstreit von zwei oder drei Gruppen von Virenschreibern handeln, die um das größte Netzwerk infizierter PCs streiten. So versucht beispielsweise Zotob.F nach einer Infektion eventuell bereits laufende Bozori- und IRCBot-Würmer abzuschalten. Im Gegenzug machen Bozori-Ableger die Runde, die Zotob-Prozesse und weitere Plug&Play-Würmer abschießen. Ein ähnlichen Kleinkrieg gab es bereits 2004 zwischen den Autoren von Netsky und MyDoom.

http://www.heise.de/newsticker/meldung/62908

 

[Captain Picard]

der deutsche MS Link zu Zotob

http://www.microsoft.com/germany/sicherheit/default.mspx

cp

 

[stieglitz]

Mutmaßliche Autoren der Zotb- und Mytop Würmer verhaftet.

http://de.internet.com/index.php?id=2037820&section=Security

Strafverfolgungsbehörden haben die beiden mutmaßlichen Autoren der gefährlichen Zotob- und Mytob Würmer verhaftet, die in den letzten Wochen die Server der Fernsehsender CNN und ABC und des New York Times-Verlags lahm legten. Auch die Dienste des Finanzdienstleisters American Express wurden beeinträchtigt. F***d E***r (18), ein in Russland gebürtiger Marokkaner, wurde in Marokko festgenommen. Auch der 21jährige türkische Bürger A**** E*** wurde inhaftiert. Das gab FBI-Sprecher Paul Bresson gestern in Washington bekannt. Beide Verdächtige kamen am Donnerstag in Haft und würden an ihren Aufenthaltsorten vor Gericht gestellt.

Und natürlich der Spiegel hats auch:
http://www.spiegel.de/netzwelt/technologie/0,1518,371632,00.html

 

[stieglitz]

Hier gehts weiter zu dem Thema:
http://www.heise.de/newsticker/meldung/63350

In seinem Weblog berichtet das Unternehmen F-Secure, dass Diabl0 als Mitglied des "0x90-Teams" -- dem Coder ebenfalls angehört -- außer für Zotob auch für diverse Mytob-Varianten seit Februar dieses Jahres verantwortlich zeichne. Er habe mit diesen Würmern mehrere Botnetze aufgebaut. Da einige Mytob-Botnetze jedoch von nicht mit dem Marokkaner verbundenen Gruppen wie beispielsweise "Blackcarder" kontrolliert werden, glauben die Finnen, dass der zugehörige Quellcode im Netz verfügbar ist

Ganz schöne Früchtchen!

 

[stieglitz]

Hier noch einige Hintergrundinformationen zu diesem Thema:
http://www.intern.de/news/7028.html

Ein Mitarbeiter der Universität von Pennsylvania hatte bereits im Juni Kontakt zu dem in der vergangenen Woche in Marokko verhafteten Viren-Autor Farid E. alias "Diabl0". Dieser wurde verhaftet, weil er eine Variante des neuen Zotob-Wurms geschrieben haben soll, die die Plug-and-Play Sicherheitslücke in Windows ausnutzt. Der Kontakt mit dem Viren-Autor kam über einen IRC-Kanal zustande, nachdem zuvor ein Rechner der Universität von einem Mytob-Virus befallen worden war. In dem Chat ließ der Marokkaner erkennen, dass seine Viren-Kreationen reine Auftragsarbeiten sind. Er wird dafür bezahlt, die befallenen Rechner mit Adware- und Spyware- zu befrachten. Aufgrund der (infolge des Befalls) herabgesetzten Sicherheitseinstellungen des Internet Explorers können diese Programme dann ihre Werbeinformationen unbeeinträchtigt abliefern. Diabl0 steht ansonsten aber auch im Verdacht, in Verbindung zu Kreditkartenbetrügern zu stehen. Die Einlassung des Marokkaners, Adware und Spyware im Auftrag Dritter verbreitet zu haben, lässt die Hoffnung aufkommen, dass der 18 Jahre alte Mann auch bereit sein könnte, seine Auftraggeber zu enttarnen.

Und hier ist wieder eine neue Sicherheitslücke aufgetaucht, es ist abzuwarten bis da ein passender Wurm auftaucht:
http://www.silicon.de/cpo/news-itsecurity/detail.php?nr=23328

Neues IE-Loch trifft voll gepatchte XP-Systeme

Microsoft untersucht Expertenbericht

30.08.2005 11:28 | von silicon.de

Der unabhängige Sicherheitsforscher Tom Ferris hat ein weiteres Loch in Microsofts Internet Explorer (IE) entdeckt. Betroffen ist die Version 6 des Browsers, wenn sie auf Rechnern mit Windows XP SP2 (Service Pack 2) läuft, auf dem alle Sicherheitspatches aufgespielt wurden. Auch andere IE- und Windows-Versionen könnten von dem Problem betroffen sein, so Ferris.

 

[stieglitz]

16 weitere Verhaftungen in der Türkei im Zusammenhang mit dem Zotob Fall, wie Heise berichtet:
http://www.heise.de/newsticker/meldung/63394
Scheinbar gehts da einigen mal richtig an den Kragen.

 

[Anonymous]

Ich hatte gestern abend, um meine Snort Konfiguration zu testen, einen Rechner ca 20 min direkt mit dem Internet (DMZ) verbunden. Die Kiste wurde in der kurzen Zeit von 18 IP Adressen mit Exploits unter Beschuß genommen. Daran sieht man, was das für eine Plage ist mit den 'Virenautoren' und 'Botnetzbetreibern'.

 

[Anonymous]

Interessante Forschungsergebnisse zum Zotob Wurm von VRT Sourcefire:


http://www.snort.org/rules/zotob_alert.html