Ein Patch, durch den die Lücke geschlossen wird, steht zur Verfügung. Über den Plug and Play Service können Schnittstellengeräte wie Drucker usw.
betrieben werden.
Beide Würmer öffnen auf infizierten Rechnern Hintertüren, so genannte Backdoors, über die Hacker Zugriff auf den Rechner erlangen können. Beide Schadprogramme lauschen auf weitere Befehle. Hierdurch können infizierte Rechner zu sogenannten BotNets zusammengeschlossen und ferngesteuert werden.
"Unter BotNets (=Kürzel für Robot Network) sind große Gruppen von Computern im Internet verstehen, die mit Hilfe von speziellen Backdoor-Programmen (so genannte Bots) Hackern ermöglichen, einen fremden Rechner fernzusteuern", erklärt Gerald Maronde, Sicherheitsexperte von Symantec. "Das Interesse der Hacker liegt vor allem in der Rechnerleistung jedes einzelnen Computers. So werden PCs über die Bots zu einem leistungsfähigen Rechnernetzwerk verknüpft, welches dann zum Beispiel zum Versand von Spammails oder für Denial-of-Service-Attacken genutzt werden kann." Die Empfehlung des Symantec-Experten zum Schutz vor derartigen Bedrohungen: "Anwender sollten neben Sicherheitssoftware wie Virenscanner und Firewall auch immer Programme und Betriebssysteme aktualisieren, um Sicherheitslücken zu schließen. Gerade die Schwachstelle im Windows Plug and Play Service ist als besonders gefährlich eingestuft. "Die Schadprogramme zeigen, wie kurz mittlerweile die Zeitspanne zwischen der Bekanntgabe von Schwachstellen bis zur Ausnutzung ist", sagt Maronde. Laut dem letzten Internet Security Threat Report vom März 2005 liegen zwischen der Veröffentlichung und Ausnutzung von Schwachstellen im Durchschnitt nur noch sechs Tage.
Symantec-Kunden sind über die letzten Aktualisierungen (LiveUpdate) geschützt. Zudem stehen auf den Symantec Webseiten Entfernungstools zur Verfügung.
Details zu Esbot.A:
- nutzt Windows Plug and Play Service Schwachstelle aus
- öffnet Backdoor-Programm
- verfielfätigt sich selber
- verlangsamt die Rechnerleistung
- versteckt sich als mausbm.exe (wird als Maus-Button-Monitor angezeigt)
- schreibt sich in explorer.exe: auch wenn der Schädling gelöscht vermeintlich gelöscht wird, öffnet er sich erneut über den Start des Explorers.
- lauscht auf IRC-Befehl (Internet Relay Chat Befehl)
Details zu Zotob.E:
- nutzt Windows Plug and Play Service Schwachstelle aus
- öffnet Backdoor-Programm
- verfielfätigt sich selber
- sucht eigenständig nach IP-Adressen, verursacht hierdurch eine hohe Belastung des Netzwerkes (hoher Netzwerktraffic), was zum Crash führen kann
- kann weiteren Code herunterladen
- lauscht auf IRC-Befehl (Internet Relay Chat Befehl)
Weitere Details unter:
http://www.symantec.com/...