Bot-Wurm nutzt altbekannte Lücke in Symantec-Software aus

02.03.2007
Nutzer älterer Versionen von Symantecs Antivirensoftware sollten diese dringend aktualisieren, um sich eine neue, als "Rinbot" beziehungsweise "Delbot" bezeichnete Wurmvariante vom Hals zu halten.

Sicherheitsexperten zufolge versucht der Wurm, der sich eine seit geraumer Zeit bekannte Schwachstelle in Symantec-Virenscannern zunutze macht, Botnetze zu erstellen, über die sich Denial-of-Service-Attacken (DoS) lancieren lassen. Nach Angaben von Ron O'Brien, Security-Analyst bei Sophos, verbreitet sich der Schädling via E-Mail-Anhang oder, indem er sich an ausgehende Messages hängt.

Offenbar haben nach wie vor noch nicht alle Symantec-Nutzer den bereits seit Mitte Mai 2006 verfügbaren Patch eingespielt, der gegen das von Symantec als "W32.Rinbot.L" und von Sophos als "W32/Delbot-L" bezeichnete Bot-Programm schützt.

Laut Sophos-Analyst O'Brien nutzt die aktuelle Wurmvariante unter anderem schwache Passwörter aus, um sich über Windows-Netz-APIs wie etwa das Messaging-API auf Systeme (inklusive Microsoft-SQL-Server) zu schmuggeln. Dort kreiert der Schädling eine Hintertür und verbindet sich mit einem Internet-Relay-Chat-Server (IRC), um dem Angreifer zu ermöglichen, die Kontrolle über den Opferrechner zu übernehmen. Nach Angaben des Sophos-Experten wurde die neue Wurmvariante vor zwei Tagen entdeckt, als sich der Schädling an den Servern des US-amerikanischen News-Giganten CNN zu schaffen machte.

Rinbot beziehungsweise Delbot ist nicht das erste bösartige Programm, das besagten Fehler in der Symantec-Software ausnutzt. So folgten auf Attacken einer Variante des "Spybot"-Wurms im November und eine Plage namens "Sagevo" respektive "Big Yellow" im Dezember weitere Zombie-Angriffe im Januar. (kf)