19.05.2004 10:42
Wurmwelle schwappt weiter
Die derzeit im Internet erhöhten Portscans auf Port 5000 sind auf den Wurm Bobax zurückzuführen, der ähnlich wie Sasser über die Sicherheitslücke im LSASS-Dienst in Windows-Systeme eindringt. Allerdings geht er dabei etwas geschickter vor: Bevor er versucht, ein System zu attackieren, testet er, ob Port 5000 erreichbar ist. Dieser Port läuft in der Regel nur auf Windows-XP-Systemen und wird für Universal Plug and Play (UPnP) benutzt. Ist der Port offen, versucht der Wurm, das XP-System zu befallen.
Rechner, bei denen der Port nicht erreichbar ist -- weil der Dienst nicht vorhanden ist oder durch eine Firewall geblockt wird -- greift Bobax nicht an. Da der Schädling nur XP-Rechner angreift, bleibt das unmotivierte Hoch- und Runterfahren von Windows aus. Dies ist bei Sasser ohnehin nur ein Indiz dafür, dass ein Angriff gerade fehlgeschlagen ist. Um die Lücke in LSASS auszunutzen, muss man nämlich wissen, ob das Zielsystem Windows 2000 oder XP ist. Ansonsten läuft die Attacke schief und verursacht nur den Absturz des LSASS-Dienstes, was zum Neustart des Rechners führt.
Der Wurm Kibuv nutzt ebenfalls die LSASS-Lücke aus, um Systeme zu infizieren, kann aber auch noch über sechs weitere Schwachstellen unter Windows XP das System unsicher machen. Unter anderem fällt er über die FTP-Lücke im Sasser-Wurm, die Backdoors von Bagle und einem Buffer Overflow im RPC-Dienst ein. Auch Kibuv trägt zur Erhöhung des Verkehrs auf Port 5000 bei, da er in der Lage ist, über eine alte Lücke in UPnP das System zu befallen. Anders als Bobax scheint Kibuv bei seiner Verbreitung aber weniger erfolgreich zu sein.
Dafür warnen die Hersteller von Antivirensoftware vor dem Lovgate.ab, der sich per Mail und ungenügend gesicherte Netzwerkfreigaben (IPC$ und ADMIN$) verbreitet. Lovgate installiert eine Backdoor und versucht Sicherheitssoftware zu deaktivieren.
Also... ähnlich wie der Sasser-Wurm, aber besser programmiert. Es erscheint nicht mehr das Symptom mit dem Herunterfahren in 60 Sekunden. Die Schadfunktion läuft völlig unebemerkt ab, über die Backdoor können sonstwas-für-Schweinereien auf dem befallenen PC gemacht werden.
Wer eine Firewall hat, wird Angriffsversuche auf Port 5000 gemeldet bekommen.
Übrigens gibt es die von mir favorisierte Firewall KPF seit kurzem auch auf deutsch, in der Version 4.0.16