RPC-Würmer für Windows-Lücke

Nach Angaben einiger Hersteller von Antivirensoftware kursieren nun echte Würmer, die die kürzlich bekannt gewordene Windows-Lücke im Serverdienst ausnutzen, um PCs mit präparierten RPC-Paketen Code unterzuschieben und zu infizieren. Der zuerst in diesem Zusammenhang gesichtete Schädling Gimmiv.A war kein Wurm im eigentlichen Sinne, da er sich von infizierten PCs nicht selbst weiterverbreitete.

Der jetzt benannate W32.Kernelbot.A verbreitet sich aber nicht nur über die bekannte Lücke, sondern auch über P2P Netzwerke, so versucht er einen eMule Client zu installieren und sich darüber weiter zu verbreiten.

Durch die standardmäßige Aktivierung der Windows Firewall die den RPC Port blockt ist die Verbreitung momentan jedoch noch recht gering. Ausgenommen China, hier nutzen anscheind sehr wenige User die Firewall, der Wurm ist hier daher am Aktivsten und infiziert zahlreiche Rechner*. Diese starten dann diverse DDoS Attacken auf chin. Webseiten.

Den zweiten gesichteten RPC-Wurm W32.Wecorl gibt es derzeit wohl nur in einer sehr geringen Auflage. Er verbindet sich mit einem Server im Internet*, um sich zu aktualisieren und weitere Schadroutinen nachzuladen. Beide Würmer werden von den gängigen Virenscannern erkannt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert