Erster Wurm nutzt neue Windows-Lücke aus

[unknown]

Am Mittwoch kündigte Microsoft an, dass ein außerplanmäßiges Update für Windows veröffentlicht werden soll, das eine kritische Sicherheitslücke schließt. Nachdem der Patch am Donnerstag freigegeben wurde, kursiert nun der erste Wurm.

Sicherheitsexperten sichteten bereits gestern den öffentlichen Exploit-Code, der jetzt vom Schädling "Gimmiv.A" genutzt wird. Er befällt ungeschützte Systeme und sucht von dort aus nach weiteren Rechnern, die ebenfalls nicht geschützt sind und greift diese an, um sie ebenfalls zu infizieren. Alle gängigen AntiViren-Programme sollten den Wurm inzwischen erkennen.

Gimmiv.A sucht auf den infizierten Rechnern nach Daten und sendelt diese in verschlüsselter Form an einen Server. Dazu gehören Benutzername, Computername, IP- und Mac-Adresse, diverse Passwörter sowie eine Liste installierter Software und Windows-Patches.


Die Sicherheitslücke, die von Gimmiv.A ausgenutzt wird, existiert in den Windows-Versionen 2000, XP, Server 2003, Vista und Server 2008. Betroffen ist der RPC-Dienst, der beliebigen Code ausführt, wenn eine speziell präparierte Anfrage eingeht. RPC (Remote Procedure Call) dient der Ausführung von Unterprogrammen auf anderen Computern im gemeinsamen Netzwerk.

Das besondere an der neuen Lücke ist die Möglichkeit, Unterprogramme ohne vorherige Zustimmung des Nutzers auszuführen. Hinzu kommt, dass sie praktisch eine Automatisierung der Interaktion über das Netzwerk erlaubt, das Ganze verhält sich fast wie eine selbst-replizierende Schadsoftware oder ein mit Würmern ausnutzbarer Exploit. Grundsätzlich erlaubt die Schwachstelle einem Angreifer die Ausführung beliebigen Codes ohne das Wissen des Nutzers.

Dies gilt allerdings nur für die älteren Windows-Versionen in dieser uneingeschränkten Form. Im Fall von Windows Vista und Windows Server 2008 ist ein Angriff nicht ohne die entsprechenden Login-Daten möglich. Microsoft stuft die Schwachstelle deshalb bei Vista und Server 2008 nicht als "kritisch", sondern als "wichtig" ein. Dies bedeutet jedoch nicht, dass die Lücke nicht ebenfalls ausgenutzt werden könnte.

Weitere Informationen

[Dagon]

wer nen Virenscanner hat ist klar im Vorteil ;-). Außerdem wer Windows legal hat, kann ja automatische Updates einstellen.

Mfg Dagon

[v6ph1]

wer nen Virenscanner hat ist klar im Vorteil ;-). Außerdem wer Windows legal hat, kann ja automatische Updates einstellen.

Wer hat schon Raubkopien?

Zudem gilt wie immer, beim Surfen, Chatten und Mailen Hirn einschalten, damit verhindert man 99% aller Viren und Trojaner-Infektionen.

mfg
v6ph1

[Snitlev]

vor allen die Finger von den XXX Seiten lassen...

[Dagon]

Wer hat schon Raubkopien?

auf welchem Board sind wir hier?? für mich hat das den gleichen Rang eines Warezboards. Schon alleine weil hier viele Posts über Tools sind die dafür genutzt werden. Ergo wird so ziemlich jeder in diesem Board Raubkopien haben.

Ich hab keine einzige .

Mfg Dagon

[mabuse]

wer nen Virenscanner hat ist klar im Vorteil ;-).

Wieso?
Dafür brauch ich keinen Virenscanner.
Wer überflüssige Dienste abschaltet (und der RPC-Dienst gehört ganz klar dazu), hat mit diesem Wurm Null Probleme. Siehe Windows-Dienste abschalten.

Bah, jeder Router wird diesen Wurm abweisen.
Das ist mal wieder ein Wurm, der nur die Dummen erwischt.

Außerdem wer Windows legal hat, kann ja automatische Updates einstellen.

Öhm.
Mein Windows ist nicht legal, trozdem bekomm ich automatische Updates.

Mal ganz davon abgesehen:
Du verlässt dich hier auf Microsoft!
1. Mal reagieren die nur, sprich, solche Updates gibt es meistens erst, wenn der Wurm schon unterwegs ist.
2. Hilft dir das alles herzhaft wenig, wenn du mal dein System neu aufsetzen musst. Bis du dir bei einem frischen System alle Updates geholt hast, ist deine Mühle schon zehnmal infiziert.

Siehe Blaster und Sasser vor zwei oder drei Jahren.

Also vergiss die automatischen Updates und leg dir regelmäßig das aktuelle Update-Pack auf Halde.