Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zotob: Wurmangriff von innen

Frage Sicherheit Viren und Trojaner

Mitglied: tuxler

tuxler (Level 1) - Jetzt verbinden

25.08.2005, aktualisiert 26.08.2005, 4958 Aufrufe, 3 Kommentare

Kurz nach Mitternacht unterbricht CNN sein laufendes Programm
wegen eines aktuellen Beitrags: Kein Terroranschlag, sondern der
Angriff eines Computerwurms ist der Anlass. Der Grund: Büros von
CNN sind betroffen, die New York Times, ABC, Capitol Hill, Disney
und viele andere Unternehmen in den USA und weltweit.

Diagnose:
Wurm Zotob nutzt eine Sicherheitslücke in der Plug-and-Play
Komponente von Windows 2000 aus. Zotob scannt andere Systeme danach,
ober der Port 445/tcp erreichbar und das System verwundbar ist, um sich
weiter zu verbreiten. Bei Erfolg baut er via FTP eine Verbindung zu seinem
Ursprungsrechner auf und vervollständigt seinen Code, der als
haha.exe gespeichert und ausgeführt wird. Im System speichert sich
Zotob in der Registry und wird bei jedem Systemstart aktiviert. Darüber
hinaus verhindert der Wurm Zugriffe auf diverse Internet-Adressen,
darunter die zahlreicher Hersteller von Antiviren Software, sodass
Updates nicht heruntergeladen werden können.

Ursache:
Am Dienstag, den 9. August veröffentlichte Microsoft in seinem
Security Bulletin MS05-039 die Sicherheitslücke und stellt einen Patch
zur Verfügung. Nur einen Tag später verbreiten Hacker im Netz die
Information, wie diese Sicherheitslücke ausgenutzt werden kann. Am
Sonntag werden dann bereits 6 Varianten des Zotob-Wurms gezählt,
die sich dieser Schwachstelle bedienen. Inzwischen nutzen auch
diverse Schädlinge anderer Virenfamilien dieselbe Sicherheitslücke
aus. Die Würmer finden ihre Wirte in Netzwerken, deren Windows
2000 PCs noch nicht auf dem aktuellen Sicherheitsstand und auch
nicht durch eine Desktop-Firewall geschützt sind. Die meisten erreichte
Zotob über infizierte Notebooks, die von Mitarbeitern in das Netzwerk
gebracht wurden.

Symptome:
Infizierte Rechner fahren nach dem Start das Betriebssystem wieder
herunter, um anschließend sogleich einen Neustart durchzuführen.
Diese Prozedur wiederholt sich beliebig oft.

Prophylaxe:
Besser als jede Therapie sind Maßnahmen, die Infektionen dieser Art
und die Verbreitung zukünftiger Würmer im Netzwerk verhindern. Die
meisten Unternehmen verfügen bereits über eine Gateway-Firewall
und scannen ihren eMail-Verkehr. Beides schützt nicht vor
Bedrohungen wie Zober. Die aktuelle Angriffswelle lenkt die
Aufmerksamkeit auf eine Schwachstelle, die an Bedeutung gewinnt:
die zunehmende Mobilität der Mitarbeiter und ihrer Rechner und damit
die Gefahr, dass Netzwerk-Würmer unter Umgehung der Internet-
Firewall in das Firmennetz eingeschleust werden.

Es gibt bereits Lösungen, die auch diese Schwachstelle zuverlässig
beseitigen. So können interne Workstations und extern eingesetzte
Notebooks mit einer zentral verwalteten Software-Suite ausgerüstet
werden, die Virenscanner und Personal Firewall kombiniert und vor
netzwerkbasierten Angriffen wie Würmer schützt. Noch mehr
Sicherheit bietet eine "Netzwerk-Quarantäne". Diese erzwingt für
Rechner, die sich von außerhalb mit dem Netzwerk verbinden bzw. als
mobile Workstations intern angeschlossen werden, aktuelle
Virendefinitionen und Sicherheitseinstellungen, bevor eine Verbindung
mit dem übrigen Firmennetz aufgebaut werden kann.
Eine zentrale Anwendungssteuerung erlaubt es Netzwerkadministratoren,
die Anwendungen auf allen Arbeitsstationen zu kontrollieren.
Programme, die Hacker oder Würmern ein Eindringen in das Netzwerk
ermöglichen, können somit erst gar nicht ausgeführt werden.

Ouelle: Dunkel eSecurity Team
Mitglied: 12217
25.08.2005 um 08:30 Uhr
Ich hasse Werbung...
Bitte warten ..
Mitglied: tuxler
25.08.2005 um 08:42 Uhr
Hallo,

ja da ha(s)st du schon recht.
Hab jetzt auch die entsprechenden Stellen gelöscht, aber die Quellenangabe ist nicht zu vermeiden, und auch nicht so schlimm denke ich.

Ansonsten ist es ja nur eine Info über den Zotob Wurm.
Bitte warten ..
Mitglied: 12217
26.08.2005 um 16:59 Uhr
Hi,

ich denke, das es für Vireninformationen bessere Quellen gibt, bzw. Informationen zu neuen Viren nicht unbedingt in dieses Forum gehören aus folgenden Gründen
- es gibt fast täglich neue Viren und die würden das Forum unübersichtlicher machen
- jeder Virenhersteller bietet einen eigenen News Service an, der per Email oder RSS betrachtet werden kann und ist dadurch zeitnaher als ein Forum
- die Bezeichnung des Virus kann von Hersteller zu Hersteller unterschiedlich sein und das kann zu Irritationen führen
- wirklich "böse" Viren werden auch auf www.heisec.de bei Neuerscheinung aufgeführt

Mit freundlichen Grüßen
DrOktagon
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...