RPC-Wurm blockiert Windows Update

Die Sicherheitsspezialisten von Symantec haben einen Wurm entdeckt, der genau ab dem 1. Januar beginnt, Unheil anzurichten. Der Wurm verbreitet sich über eine RPC-Sicherheitslücke, die Microsoft allerdings bereits im Oktober mit einem ausserplanmässigen Update gepatcht hat.
Der Wurm kommt zwar erst zwei Monate nach Bekanntwerden der Lücke, sodass die meisten Rechner bereits gepatcht sein dürften, wer sich den Wurm dennoch eingefangen hat, muss mit einer ganzen Reihe von Schäden rechnen. Der Wurm macht das Windows-Update unbrauchbar, löscht alle verfügbaren Wiederherstellungspunkte und blockiert den Zugang auf alle Domains der bekannten Antivirus-Hersteller, um zu verhindern, dass die Nutzer Updates für Antivirenprogramme herunterladen können.
Zudem versucht der Wurm sich im Intranet zu verbreiten, indem er eine Verbindung mit dem ADMIN$-Share auf jedem Windows-Rechner aufnimmt. Dabei probiert er eine Reihe von häufig genutzten Passwörtern aus. So kann sich der Wurm auch auf bereits gegen die RPC-Lücke gepatchte Rechner verbreiten.

Ab dem 1. Januar 2009 wird der Wurm dann aktiv, indem er versucht, einen Webserver auf einem Zufallsport zu starten und DSL-Router per UPnP zu modifizieren, um so den Port ins Internet zu routen. Anschließend meldet er den Port und die öffentliche IP-Adresse an mehrere von den Cyberkriminellen aufgesetzte Server, die auf diese Weise Zugriff auf die verseuchten Computer erhalten. Ein Zurücksetzen des Datums auf 2008 bringt dabei keine Abhilfe, da der Schädling das Datum aus dem Internet bezieht.
Gefährdet ist zunächst jeder PC, der den Patch MS08-067 nicht installiert hat. Rechner in einem Netzwerk sind grundsätzlich gefährdet, wenn bereits ein Rechner verseucht ist und ein Administrator Kennwort aus der von Symantec veröffentlichten Liste genutzt wird. (02.01.09, ZDNet)

Siehe auch:

Liste der Passwörter von Symantec und Removal-Tool

Diese Meldung einem Freund senden