Statt RPC-Wurm nun IRC-Bots im Internet unterwegs

Auf der Mailing-Liste Full-Disclosure gab es gestern erste Postings, die vermuten ließen, dass der erwartete RPC-Wurm im Internet unterwegs ist und verwundbare Windows-Systeme über den RPC-Port 135 und andere befällt.  

Angegriffene Systeme sollen an folgenden Dateien auf c: erkennbar sein:  

rpc.exe  
rpctest.exe  
tftpd.exe  
worm.exe  
lolx.exe  

und  

lolx.exe  
dcomx.exe  
im Windows-Systemverzeichnis.

rpc.exe und dcom.exe sind zusätzlich im Task-Manager als laufende Dienste zu identifizieren.

Wie sich nach einer Analyse bei Symantec mittlerweile herausstellte, gehören diese Dateien zu einem so genannten Massrooter-Toolkit, das in Windows-Systeme einbricht und sich dort einnistet. Befallene Systeme arbeiten als IRC-Bot: Sie öffnen IRC-Channels und nehmen Kommandos entgegen.

Ein Wurm verbreitet sich automatisch selbst. Diese Eigenschaft fehlt dem Toolkit, da es von Angreifern zentral gesteuert auf verwundbaren Systemen installiert wird. Einmal infizierte Systeme greifen keine weiteren PCs an, können aber als Plattform für weitere Angriffe, zum Beispiel Distributed Denial-of-Service-Attacken, missbraucht werden. Darüber hinaus erlaubt der TFTP-Server (tftpd.exe) das Hochladen beliebiger Dateien.  

Das Auftauchen eines RPC-Wurms ist aber weiterhin möglich, insbesondere da das jetzt aufgetauchte Toolkit nur noch um die Komponente der automatischen Weiterverbreitung ergänzt werden muss. Es wird weiterhin empfohlen, die Patches von Microsoft einzuspielen und RPC- sowie NetBios-Ports in Richtung Internet zu sperren oder zu filtern. Desweiteren sollten nach dem Wochenende potenziell bedrohte Rechner auf oben genannte Dateien hin überprüft werden. (dab/c't)