Die Attacken richten sich gegen Rechner, auf denen ältere Versionen von Symantecs "Client Security" und "Symantec AntiVirus Corporate Edition" laufen. Dabei werden die betroffenen Systeme in ferngesteuerte Zombies verwandelt und als Spam-Schleudern oder für andere bösartige Aktionen missbraucht. Von dem Problem nicht betroffen ist Symantecs Norton-Consumer-Software.

"Was wir im Dezember und in den vergangenen eineinhalb Wochen beobachtet haben, bezieht sich auf neue Varianten von Spybot", so Vincent Weafer, Senior Director bei Symantec Security Response, gegenüber dem Online-Branchendienst "Cnet". Während einige frühere Spybot-Versionen ins Leere liefen, hätten Letztere einen effektiveren Weg gefunden, sich zu verbreiten.

Die Spybot-Varianten dringen über ein seit Mai letzten Jahres bekanntes Sicherheitsleck in Symantecs Antivirensoftware in die Systeme ein. Einmal installiert, kreiert Spybot eine Hintertür im System und verbindet sich mit einem Internet-Relay-Chat-Server (IRC), um dem Angreifer zu ermöglichen, die Kontrolle über den Rechner zu übernehmen. Spybot tauchte erstmals im Jahr 2003 auf und hat sich seither in zahlreichen Varianten verbreitet.

Die erste Spybot-Version, die sich das Leck in der Symantec-Software zunutze macht, war im November aufgetaucht, gefolgt von einer weiteren Plage namens Savego oder Big Yellow im Dezember. Beide Bedrohungen hatte Symantec zunächst als harmlos abgetan. Während Savego kläglich gescheitert sei, verursache Spybot jedoch tatsächlich Schaden, räumt Weafer nun ein. Seit dem 20. Dezember habe Symantec vermehrt Aktivitäten auf TCP-Port 2967 bemerkt, den die verwundbare Software verwende.

Den bereits seit Mitte Mai 2006 verfügbaren Patch für den Fehler haben offenbar nicht alle Symantec-Nutzer eingespielt. Im Gegensatz zu Symantecs Consumer-Produkten umfasst dessen Antivirenlösung für Unternehmen keine automatischen Produkt-Updates. Vielmehr müssten Firmenkunden das Update von der Support-Site herunterladen, erklärt Weafer. Das Sicherheits-Update unterscheide sich von den regulären Definition-Updates, die automatisch an Privat- wie Firmenkunden verteilt werden.

Laut Weafer will Symantec die Update-Mechanismen für seine Firmen-Tools überdenken. Darüber hinaus sei eine aktualisierte Version seiner Antiviren-Scan-Engine geplant, die Spybot besser aufspüren kann und automatisch an sämtliche Nutzer verteilt werden soll. (kf)