Sicherheitsexperten zufolge versucht der Wurm, der sich eine seit geraumer Zeit bekannte Schwachstelle in Symantec-Virenscannern zunutze macht, Botnetze zu erstellen, über die sich Denial-of-Service-Attacken (DoS) lancieren lassen. Nach Angaben von Ron O'Brien, Security-Analyst bei Sophos, verbreitet sich der Schädling via E-Mail-Anhang oder, indem er sich an ausgehende Messages hängt.
Offenbar haben nach wie vor noch nicht alle Symantec-Nutzer den bereits seit Mitte Mai 2006 verfügbaren Patch eingespielt, der gegen das von Symantec als "W32.Rinbot.L" und von Sophos als "W32/Delbot-L" bezeichnete Bot-Programm schützt.
Laut Sophos-Analyst O'Brien nutzt die aktuelle Wurmvariante unter anderem schwache Passwörter aus, um sich über Windows-Netz-APIs wie etwa das Messaging-API auf Systeme (inklusive Microsoft-SQL-Server) zu schmuggeln. Dort kreiert der Schädling eine Hintertür und verbindet sich mit einem Internet-Relay-Chat-Server (IRC), um dem Angreifer zu ermöglichen, die Kontrolle über den Opferrechner zu übernehmen. Nach Angaben des Sophos-Experten wurde die neue Wurmvariante vor zwei Tagen entdeckt, als sich der Schädling an den Servern des US-amerikanischen News-Giganten CNN zu schaffen machte.
Rinbot beziehungsweise Delbot ist nicht das erste bösartige Programm, das besagten Fehler in der Symantec-Software ausnutzt. So folgten auf Attacken einer Variante des "Spybot"-Wurms im November und eine Plage namens "Sagevo" respektive "Big Yellow" im Dezember weitere Zombie-Angriffe im Januar. (kf)