http://www.panda-software.de/...
Im heuten Wochenbericht befassen wir uns mit 5 Sicherheitslücken in Microsoft Produkten und den neuen Varianten von Mytob, Gaobot und Kelvir.
Die fünf Sicherheitslücken wurden als kritisch eingestuft und greifen nicht nur das Windows-Betriebssystem sondern auch Anwendungen wie den Internet Explorer, Exchange Server, MSN Messenger, Word, Works und Office an. Sind die Patches nicht eingespielt kann ein Hacker die Kontrolle über das angegriffene System übernehmen.
Was die schädlichen Codes betrifft so können wir für die letzte Woche noch einmal Mytob aufgreifen. Es sind zahlreiche neue Versionen erschienen, die sich mit einem IRC Server verbinden und auf weitere Kontrollkommandos wie das Löschen, Downloaden oder Starten von Dateien warten. Einige Versionen verhindern den Zugriff auf verschiedene Webseiten von Antivirenherstellern und IT Sicherheitsunternehmen. Mytob Würmer verbreiten sich via eMail oder durch das Internet über die LSASS Verwundbarkeit. Außerdem versuchen Sie schwache Passwörter in Netzwerken zu knacken.
Die TruPrevent Technologien haben diese neuen Varianten bereits proaktiv geblockt noch bevor sie über die Virussignaturdatei bekannt waren.
Ein weiteres "Highlight" der letzten Woche war Gaobot.EYP, der eine Hintertür für Hacker öffnet. Der Angreifer wäre in der Lage verschiedenste Kommandos auf dem infizierten Rechner durchzuführen. Unter anderem wäre das Downloaden und Starten von Dateien sowie das mitprotokollieren von Tastaturanschlägen oder Starten von Distributed Denial of Service Attacken (DDoS) möglich.
Gaobot.EYP beendet Prozesse von verschiedenen Sicherheitstools wie Antivirenprogrammen oder Firewalls und hinterlässt so einen für weitere Malware verwundbaren Rechner. Zusätzlich beendet er noch Prozesse von eventuell vorhandenen anderen Würmern.
Verbreitungswege von Gaobot.EYP
- Er kopiert sich in freigegebene Netzlaufwerke
- Er nutzt die folgenden Verwundbarkeiten aus um sich über das Internet weiter zu verbreiten: LSASS, RPC DCOM, WINS Buffer Overflow im Worstation Service
- Er dringt in SQL Server ein auf denen der Administrator kein Passwort vergeben hat.
Als letztes haben wir noch Kelvir.L.worm im Angebot, der sich über MSN Messenger verbreitet. Er sendet eine Nachricht mit dem Text "its you", die auf die URL hydr0.net verweist. Klickt der User auf den Link wird ein komprimierter und selbstausführender Trojaner namens Trj/MultiDropper.ZL herunter geladen und gestartet. In dem Archiv befinden sich die Dateien uncanny.exe und advbot.exe, die jeweils Kopien von Kelvir.L.worm und Gaobot.EYX.worm (Achtung nicht EYP) sind.
Weitere Informationen erhalten Sie unter: http://www.pandasoftware.com/...