19.05.2004 10:42
Wurmwelle schwappt weiter
Die derzeit im Internet erhöhten Portscans auf Port 5000 sind auf den Wurm Bobax zurückzuführen, der ähnlich wie Sasser über die Sicherheitslücke im LSASS-Dienst in Windows-Systeme eindringt. Allerdings geht er dabei etwas geschickter vor: Bevor er versucht, ein System zu attackieren, testet er, ob Port 5000 erreichbar ist. Dieser Port läuft in der Regel nur auf Windows-XP-Systemen und wird für Universal Plug and Play (UPnP) benutzt. Ist der Port offen, versucht der Wurm, das XP-System zu befallen.
Rechner, bei denen der Port nicht erreichbar ist -- weil der Dienst nicht vorhanden ist oder durch eine Firewall geblockt wird -- greift Bobax nicht an. Da der Schädling nur XP-Rechner angreift, bleibt das unmotivierte Hoch- und Runterfahren von Windows aus. Dies ist bei Sasser ohnehin nur ein Indiz dafür, dass ein Angriff gerade fehlgeschlagen ist. Um die Lücke in LSASS auszunutzen, muss man nämlich wissen, ob das Zielsystem Windows 2000 oder XP ist. Ansonsten läuft die Attacke schief und verursacht nur den Absturz des LSASS-Dienstes, was zum Neustart des Rechners führt.
Der Wurm Kibuv nutzt ebenfalls die LSASS-Lücke aus, um Systeme zu infizieren, kann aber auch noch über sechs weitere Schwachstellen unter Windows XP das System unsicher machen. Unter anderem fällt er über die FTP-Lücke im Sasser-Wurm, die Backdoors von Bagle und einem Buffer Overflow im RPC-Dienst ein. Auch Kibuv trägt zur Erhöhung des Verkehrs auf Port 5000 bei, da er in der Lage ist, über eine alte Lücke in UPnP das System zu befallen. Anders als Bobax scheint Kibuv bei seiner Verbreitung aber weniger erfolgreich zu sein.
Dafür warnen die Hersteller von Antivirensoftware vor dem Lovgate.ab, der sich per Mail und ungenügend gesicherte Netzwerkfreigaben (IPC$ und ADMIN$) verbreitet. Lovgate installiert eine Backdoor und versucht Sicherheitssoftware zu deaktivieren.
