Nach Angaben mehrerer Hersteller von Antivirensoftware kursieren nun echte Würmer, die die kürzlich bekannt gewordene Windows-Lücke im Serverdienst ausnutzen, um PCs mit präparierten RPC-Paketen Code unterzuschieben und zu infizieren. Der zuerst in diesem Zusammenhang gesichtete Schädling Gimmiv.A war kein Wurm im eigentlichen Sinne, da er sich von infizierten PCs nicht selbst weiterverbreitete.

Der nun unter anderem von Symantec entdeckte und beschriebene W32.Kernelbot.A nutzt zur Weiterverbreitung aber nicht nur die Schwachstelle aus, sondern versucht sich zudem, über P2P-Netzwerke zu verbreiten. Dazu lädt er einen eMule-Client aus dem Netz nach und bietet einen präparierten Film an, in dem der Wurm steckt. Darüber hinaus manipuliert er die hosts-Datei, um den Zugriff auf bestimmte Domains zu verhindern. Dazu gehören insbesondere Adressen von Antivirenherstellern. Er versucht zusätzlich einige Prozesse bekannter Antivirensoftware zu beenden.

Bislang ist die Verbreitung aber offenbar gering, was wahrscheinlich daran liegt, dass der größte Teil der Anwender unter Windows die Firewall aktiviert hat, sodass der Wurm keinen Zugriff auf den verwundbaren Dienst hat. Offenbar ist dies aber häufig bei chinesischen Anwendern nicht der Fall, da der Wurm zumeist auf chinesischen PCs beobachtet wurde und von dort Berichten zufolge sogar DDoS-Attacken gegen chinesische Websites startet. Dass grundsätzlich besonders viele verwundbare Rechner in China stehen, hat zuletzt der Dienstleister SecureWorks in einer Studie herausgefunden. Zu ähnlichen Ergebnissen ist auch Microsoft in seinem jüngsten Security Intelligence Report gekommen.

Ob der eigene PC von außen erreichbar ist, zeigt ein kurzer Test auf dem c't Netzwerkcheck. Zeigt der vorkonfigurierte Windows-Test einen der Ports 135 bis 139 oder 445 als offen an, besteht akute Gefahr.

Den zweiten gesichteten RPC-Wurm W32.Wecorl gibt es derzeit wohl nur in einer sehr geringen Auflage. Er verbindet sich mit einem Server im Internet, um sich zu aktualisieren und weitere Schadroutinen nachzuladen. Beide Würmer werden von den gängigen Virenscannern erkannt.

Zwar sollten die aktuellen Windows-Versionen bereits durch das automatische Update nicht mehr verwundbar sein, allerdings haben einige Anwender dies aus bestimmten Gründen deaktiviert. Diese sollten die Updates im Zweifel manuell herunterladen und installieren. Hilfe bietet dabei auch das Skriptpaket "Offline Update", das Microsofts komplette Update-Bibliothek herunterlädt und daraus topaktuelle Patch-Pakete für Windows 2000, XP, 2003, Vista sowie für Office erstellt.

Quelle: Heise.de