Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zotob: Wurmangriff von innen

Mitglied: tuxler

tuxler (Level 1) - Jetzt verbinden

25.08.2005, aktualisiert 26.08.2005, 5054 Aufrufe, 3 Kommentare

Kurz nach Mitternacht unterbricht CNN sein laufendes Programm
wegen eines aktuellen Beitrags: Kein Terroranschlag, sondern der
Angriff eines Computerwurms ist der Anlass. Der Grund: Büros von
CNN sind betroffen, die New York Times, ABC, Capitol Hill, Disney
und viele andere Unternehmen in den USA und weltweit.

Diagnose:
Wurm Zotob nutzt eine Sicherheitslücke in der Plug-and-Play
Komponente von Windows 2000 aus. Zotob scannt andere Systeme danach,
ober der Port 445/tcp erreichbar und das System verwundbar ist, um sich
weiter zu verbreiten. Bei Erfolg baut er via FTP eine Verbindung zu seinem
Ursprungsrechner auf und vervollständigt seinen Code, der als
haha.exe gespeichert und ausgeführt wird. Im System speichert sich
Zotob in der Registry und wird bei jedem Systemstart aktiviert. Darüber
hinaus verhindert der Wurm Zugriffe auf diverse Internet-Adressen,
darunter die zahlreicher Hersteller von Antiviren Software, sodass
Updates nicht heruntergeladen werden können.

Ursache:
Am Dienstag, den 9. August veröffentlichte Microsoft in seinem
Security Bulletin MS05-039 die Sicherheitslücke und stellt einen Patch
zur Verfügung. Nur einen Tag später verbreiten Hacker im Netz die
Information, wie diese Sicherheitslücke ausgenutzt werden kann. Am
Sonntag werden dann bereits 6 Varianten des Zotob-Wurms gezählt,
die sich dieser Schwachstelle bedienen. Inzwischen nutzen auch
diverse Schädlinge anderer Virenfamilien dieselbe Sicherheitslücke
aus. Die Würmer finden ihre Wirte in Netzwerken, deren Windows
2000 PCs noch nicht auf dem aktuellen Sicherheitsstand und auch
nicht durch eine Desktop-Firewall geschützt sind. Die meisten erreichte
Zotob über infizierte Notebooks, die von Mitarbeitern in das Netzwerk
gebracht wurden.

Symptome:
Infizierte Rechner fahren nach dem Start das Betriebssystem wieder
herunter, um anschließend sogleich einen Neustart durchzuführen.
Diese Prozedur wiederholt sich beliebig oft.

Prophylaxe:
Besser als jede Therapie sind Maßnahmen, die Infektionen dieser Art
und die Verbreitung zukünftiger Würmer im Netzwerk verhindern. Die
meisten Unternehmen verfügen bereits über eine Gateway-Firewall
und scannen ihren eMail-Verkehr. Beides schützt nicht vor
Bedrohungen wie Zober. Die aktuelle Angriffswelle lenkt die
Aufmerksamkeit auf eine Schwachstelle, die an Bedeutung gewinnt:
die zunehmende Mobilität der Mitarbeiter und ihrer Rechner und damit
die Gefahr, dass Netzwerk-Würmer unter Umgehung der Internet-
Firewall in das Firmennetz eingeschleust werden.

Es gibt bereits Lösungen, die auch diese Schwachstelle zuverlässig
beseitigen. So können interne Workstations und extern eingesetzte
Notebooks mit einer zentral verwalteten Software-Suite ausgerüstet
werden, die Virenscanner und Personal Firewall kombiniert und vor
netzwerkbasierten Angriffen wie Würmer schützt. Noch mehr
Sicherheit bietet eine "Netzwerk-Quarantäne". Diese erzwingt für
Rechner, die sich von außerhalb mit dem Netzwerk verbinden bzw. als
mobile Workstations intern angeschlossen werden, aktuelle
Virendefinitionen und Sicherheitseinstellungen, bevor eine Verbindung
mit dem übrigen Firmennetz aufgebaut werden kann.
Eine zentrale Anwendungssteuerung erlaubt es Netzwerkadministratoren,
die Anwendungen auf allen Arbeitsstationen zu kontrollieren.
Programme, die Hacker oder Würmern ein Eindringen in das Netzwerk
ermöglichen, können somit erst gar nicht ausgeführt werden.

Ouelle: Dunkel eSecurity Team
Mitglied: 12217
25.08.2005 um 08:30 Uhr
Ich hasse Werbung...
Bitte warten ..
Mitglied: tuxler
25.08.2005 um 08:42 Uhr
Hallo,

ja da ha(s)st du schon recht.
Hab jetzt auch die entsprechenden Stellen gelöscht, aber die Quellenangabe ist nicht zu vermeiden, und auch nicht so schlimm denke ich.

Ansonsten ist es ja nur eine Info über den Zotob Wurm.
Bitte warten ..
Mitglied: 12217
26.08.2005 um 16:59 Uhr
Hi,

ich denke, das es für Vireninformationen bessere Quellen gibt, bzw. Informationen zu neuen Viren nicht unbedingt in dieses Forum gehören aus folgenden Gründen
- es gibt fast täglich neue Viren und die würden das Forum unübersichtlicher machen
- jeder Virenhersteller bietet einen eigenen News Service an, der per Email oder RSS betrachtet werden kann und ist dadurch zeitnaher als ein Forum
- die Bezeichnung des Virus kann von Hersteller zu Hersteller unterschiedlich sein und das kann zu Irritationen führen
- wirklich "böse" Viren werden auch auf www.heisec.de bei Neuerscheinung aufgeführt

mfg
DrOktagon
Bitte warten ..
Ähnliche Inhalte
Datenbanken
Inner join über 3 Tabellen
Frage von Fitzel69Datenbanken10 Kommentare

Hallo zusammen, ich habe folgendes Problem: Ich muß aus unserem ERP System mehrere Infos heraus ziehen. Hierfür benötige ich ...

Router & Routing
Externe IP von innen erreichbar machen
gelöst Frage von Windows10GegnerRouter & Routing28 Kommentare

Hallo, ich habe bei mir nen kleinen FTP eingerichtet und möchte diesen auch intern von der Adresse von ddns.net ...

Drucker und Scanner

HP LaserJet 2100 - Kunststoffwalze im Inneren gefunden. Wo gehört sie hin?!

gelöst Frage von 109751Drucker und Scanner7 Kommentare

Hallo zusammen, ich bin vor ein paar Tagen an einen HP LaserJet 2100 geraten der längere Zeit in einer ...

Neue Wissensbeiträge
Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 14 StundenDatenschutz2 Kommentare

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 3 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 3 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Heiß diskutierte Inhalte
Hardware
Sophos SG135 - Routing
gelöst Frage von Xaero1982Hardware22 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail18 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Netzwerke
Hilfe bei der Planung meines Heimnetzwerks
Frage von DHD082Netzwerke15 Kommentare

Hallo zusammen, wir bauen gerade ein Einfamilienhaus, welches ich mit einem Heimnetzwerk ausstatten möchte. Da ich zwar auch in ...

Windows 7
Mit gpedit gesetzte Richtlinien in rsop.msc nicht definiert und ausgegraut
gelöst Frage von 137006Windows 715 Kommentare

Hallo zusammen, anfangs verweise ich fairerweise daruf dass ich dieses Thema bereits im Forum angeschnitten habe, nachdem ich hier ...