Gefährlicher Wurm kann Windows lahm legen

Die Firma Symantec hat einen Wurm entdeckt. Dieser Wurm wird ab 1. Januar 2009 aktiviert und beginnt auch von da an Schaden anzurichten. Die Verbreitung des Wurmes findet über die RPC-Lücke MS08-067 statt. Doch Microsoft hat diese Lücke mit einem außerplanmäßigen Update im Oktober geschlossen. Wenn ihr das Betriebssystem Windows immer auf automatische Updates eingestellt habt, so wurde diese Sicherheitslücke mit dem außerplanmäßigen Update geschlossen.

Doch wer die automatischen Updates für Windows deaktiviert hat, hat eventuell diese Malware auf seinem Rechner. Dieser Wurm kann eine Reihe von Schäden anrichten. So schaltet der Wurm das Windows-Update ab und löscht alle Systemwiederherstellungspunkte. Desweiteren wird der Zugriff auf die Internetseiten von Avira, AVG, Microsoft, McAfee oder Symantec blockiert. Damit wird das Herunterladen von Virendatenbank-Updates verhindert.

Der Wurm versucht sich über das Intranet zu verbreiten. Dabei nimmt er eine Verbindung mit dem ADMIN$-Share auf jedem Windows-Rechner auf. Er versucht eine Reihe von Standardpasswörtern aus und auf diese Weise kann sich die Malware auch auf Rechnern verbreiten, die gegen die RPC-Lücke gepatcht sind.

Er startet ab 01. Januar 2009 auf einem Webserver auf einem Zufallsport und versucht damit DSL-Router per UPnP zu modifizieren um so den Port ins Internet zu routen. Anschließend meldet der Wurm den Port und die öffentliche IP-Adresse an die Cyberkriminellen. Somit erhalten die Cyberkriminellen einen Zugriff auf die verseuchten Rechner. Auch das Umstellen des Datums auf das Jahr 2008 hat keinen Zweck um den Wurm unschädlich zu machen. Der Wurm bezieht die Uhrzeit aus dem Internet.

Es besteht auch die Gefahr für alle Rechner in einem Netz, in dem mindestens ein verseuchter Rechner steht. Eine Liste hat Symantec veröffentlicht, welche Standardpasswörter die Malware als Administrator-Passwort benutzt. Die Liste der Standardpasswörter findet ihr hier.