# Computerwurm befällt Netzwerke von CNN und NewYorkTimes



## stieglitz (17 August 2005)

http://www.spiegel.de/netzwelt/technologie/0,1518,370060,00.html


> In den USA verbreitet sich ein Computervirus, das Windows-Rechner angreift. Die Virus-Attacke war in der Nacht live im Fernsehen zu bestaunen: Bei CNN führten aufgeregte Redakteure ihre verrückt spielenden Computer vor. Auch andere Medien-Unternehmen waren betroffen.


Dazu habe ich noch ein Yellow Alert von Trend Micro


> YELLOW ALERT - WORM_RBOT.CBQ - 17.08.2005 (Yellow Alert):
> 
> 
> 
> ...


Und hier natürlich auch:
http://www.heise.de/newsticker/meldung/62874


----------



## Captain Picard (17 August 2005)

*Re: Computerwurm befällt Netzwerke von CNN und New York Tim*



			
				stieglitz schrieb:
			
		

> http://www.spiegel.de/netzwelt/technologie/0,1518,370060,00.html
> 
> 
> > In den USA verbreitet sich ein Computervirus, das Windows-Rechner angreift. Die Virus-Attacke war in der Nacht live im Fernsehen zu bestaunen: Bei CNN führten aufgeregte Redakteure ihre verrückt spielenden Computer vor. Auch andere Medien-Unternehmen waren betroffen.


nach den Erfahrungen mit Sasser und Lovesan ist es schon erstaunlich wie schlampig deren Sysadmins 
offensichtlich arbeiten.  Die Warnung vor Zotop und  der  Hinweis, dass dringend der Patch erforderlich ist , ist seit Tagen bekannt 


			
				Heise schrieb:
			
		

> Nach Informationen der Antiviren-Hersteller läuft der Wurm nicht nur auf Windows 2000, sondern kann, auf Systemen mit Windows 95/98/Me, NT4 und Windows XP gestartet, diese Systeme nutzen, um andere Rechner, die übers Netz erreichbar sind, zu infizieren.
> ..
> Anwender sollten so schnell wie möglich die von Microsoft herausgegebenen Patches für die jüngst bekannt gewordenen Sicherheitslücken, darunter das Leck in der Plug&Play-Schnittstelle, installieren


http://www.microsoft.com/technet/security/advisory/899588.mspx
http://www.microsoft.com/technet/security/bulletin/MS05-039.mspx


> Recommendation: Customers should apply the update immediately.


cp


----------



## stieglitz (17 August 2005)

> Nachdem bereits am Wochenende die ersten Varianten auftauchten, sehen sich die Anti Viren-Spezialisten nun mit einer ganzen Welle neuer Versionen konfrontiert, die durch Updates der AV-Datenbanken allein kaum noch gestoppt werden können.
> 
> *Jeweils nach wenigen Minuten tauche ein neuer Zotob-Wurm auf*, hieß es beim japanischen Unternehmen Trend Micro. "Wir sind noch immer damit beschäftigt, Infektionsberichte zu sichten", sagte Joe Hartmann, Direktor der Antivirus Research-Gruppe der Firma. Das Auftreten der Maleware wurde weltweit beobachtet, Symptome zeigen sich beispielsweise in mehrfachen spontanen Neustarts von Rechnern.


http://de.internet.com/index.php?id=2037608&section=Security

Wenn die Viren so schnell mutieren, ist das natürlich schon ein Problem.
Wir z.B. daten stündlich die Neuen Vireninformationen ab. Aber wenn einer ganz neu ist, kann er schon mal durchrutschen.
Auch die neuesten Windows-Patches werden bei uns laufend aufgespielt. Da danach jedoch ein Neustart des Servers erforderlich ist, was im lfd. Betrieb nicht immer möglich ist, kann das schon mal zu Zeitverzögerungen führen. Und wenn alles dumm läuft, kann man schon mal infiziert werden.


----------



## Captain Picard (17 August 2005)

es war seit Tagen bekannt.  Nochmal,  nach Lovesan und Sasser ist das alles keine Entschuldigung mehr 
Dringend heißt dringend, der Verlust an Arbeitzeit ist 10mal größer, wenn ein ganzes Firmennetzwerk infiziert wird.  

Dann ist ja auf einmal  Zeit in Hülle und Fülle vorhanden,  die Kinder wieder aus dem Brunnen zu ziehen.....


----------



## Counselor (17 August 2005)

Ich registriere heute auch bei mir mehr unerwünschte Firewallaktivitäten als sonst. Es betrifft hauptsächlich Port 1433 (MS SQL Server). Frage mich, ob das mit diesem Wurm zusammenhängt.


----------



## Captain Picard (17 August 2005)

wie unterschiedlich die Aussagen sind 
http://www.spiegel.de/netzwelt/technologie/0,1518,370060,00.html


> Microsoft wiegelte unterdessen ab. "Wir haben keine große Zunahme gesehen", sagte eine Sprecherin der Microsoft-Sicherheitsabteilung mit Blick auf "Zotob". "Eine ziemlich kleine Zahl von Nutzern ist befallen.


http://www.tecchannel.de/news/themen/sicherheit/431619/


> Zotob: Neuer Wurm verbreitet sich rapide
> Ein neuer Wurm nutzt eine Schwachstelle in der Plug-and-Play-Funktion von Windows 2000. Laut Microsoft sind Systeme mit Windows XP und Windows 2003 Server nicht betroffen.
> 
> Die Wurmfamilie Zotob.A bis Zotob.C sowie der Trojaner Backdoor.Win32.IRCBot.es. nutzen eine Lücke in der Plug-and-Play-Funktion. Die Lücke MS05-039 wurde im August-Patch-Day behoben.


cp


----------



## Captain Picard (17 August 2005)

vorhin mal gerade eine Newsmeldung jetzt schon über 100...

http://news.google.de/nwshp?hl=de&tab=wn&q=Zotob

zB.
http://www.rp-online.de/public/article/nachrichten/medien/internet/102796


> WINDOWS 2000
> BSI warnt vor Computerwurm Zotob


http://www.presseportal.de/story.htx?nr=713661&ressort=5

http://www.bsi.de/av/vb/ZotobE.htm


> Entfernung
> 
> Der Wurm kann möglicherweise nicht im laufenden System entfernt werden:
> 
> ...



cp


----------



## stieglitz (17 August 2005)

Eine Aktuelle Meldung bei Heise:


> Trotz der Dubletten ist die Zahl der Zotob-Varianten beeindruckend. Offenbar stammen die Schädlinge von mehreren konkurrierenden Programmierern. Nach Einschätzung von F-Secure könnte es sich um einen Wettstreit von zwei oder drei Gruppen von Virenschreibern handeln, die um das größte Netzwerk infizierter PCs streiten. So versucht beispielsweise Zotob.F nach einer Infektion eventuell bereits laufende Bozori- und IRCBot-Würmer abzuschalten. Im Gegenzug machen Bozori-Ableger die Runde, die Zotob-Prozesse und weitere Plug&Play-Würmer abschießen. Ein ähnlichen Kleinkrieg gab es bereits 2004 zwischen den Autoren von Netsky und MyDoom.


http://www.heise.de/newsticker/meldung/62908


----------



## Captain Picard (17 August 2005)

der deutsche MS Link zu Zotob

http://www.microsoft.com/germany/sicherheit/default.mspx

cp


----------



## stieglitz (29 August 2005)

Mutmaßliche Autoren der Zotb- und Mytop Würmer verhaftet.

http://de.internet.com/index.php?id=2037820&section=Security


> Strafverfolgungsbehörden haben die beiden mutmaßlichen Autoren der gefährlichen Zotob- und Mytob Würmer verhaftet, die in den letzten Wochen die Server der Fernsehsender CNN und ABC und des New York Times-Verlags lahm legten. Auch die Dienste des Finanzdienstleisters American Express wurden beeinträchtigt. F***d E***r (18), ein in Russland gebürtiger Marokkaner, wurde in Marokko festgenommen. Auch der 21jährige türkische Bürger A**** E*** wurde inhaftiert. Das gab FBI-Sprecher Paul Bresson gestern in Washington bekannt. Beide Verdächtige kamen am Donnerstag in Haft und würden an ihren Aufenthaltsorten vor Gericht gestellt.


Und natürlich der Spiegel hats auch:
http://www.spiegel.de/netzwelt/technologie/0,1518,371632,00.html


----------



## stieglitz (30 August 2005)

Hier gehts weiter zu dem Thema:
http://www.heise.de/newsticker/meldung/63350


> In seinem Weblog berichtet das Unternehmen F-Secure, dass Diabl0 als Mitglied des "0x90-Teams" -- dem Coder ebenfalls angehört -- außer für Zotob auch für diverse Mytob-Varianten seit Februar dieses Jahres verantwortlich zeichne. Er habe mit diesen Würmern mehrere Botnetze aufgebaut. Da einige Mytob-Botnetze jedoch von nicht mit dem Marokkaner verbundenen Gruppen wie beispielsweise "Blackcarder" kontrolliert werden, glauben die Finnen, dass der zugehörige Quellcode im Netz verfügbar ist


Ganz schöne Früchtchen!


----------



## stieglitz (31 August 2005)

Hier noch einige Hintergrundinformationen zu diesem Thema:
http://www.intern.de/news/7028.html


> Ein Mitarbeiter der Universität von Pennsylvania hatte bereits im Juni Kontakt zu dem in der vergangenen Woche in Marokko verhafteten Viren-Autor Farid E. alias "Diabl0". Dieser wurde verhaftet, weil er eine Variante des neuen Zotob-Wurms geschrieben haben soll, die die Plug-and-Play Sicherheitslücke in Windows ausnutzt. Der Kontakt mit dem Viren-Autor kam über einen IRC-Kanal zustande, nachdem zuvor ein Rechner der Universität von einem Mytob-Virus befallen worden war. In dem Chat ließ der Marokkaner erkennen, dass seine Viren-Kreationen reine Auftragsarbeiten sind. Er wird dafür bezahlt, die befallenen Rechner mit Adware- und Spyware- zu befrachten. Aufgrund der (infolge des Befalls) herabgesetzten Sicherheitseinstellungen des Internet Explorers können diese Programme dann ihre Werbeinformationen unbeeinträchtigt abliefern. Diabl0 steht ansonsten aber auch im Verdacht, in Verbindung zu Kreditkartenbetrügern zu stehen. Die Einlassung des Marokkaners, Adware und Spyware im Auftrag Dritter verbreitet zu haben, lässt die Hoffnung aufkommen, dass der 18 Jahre alte Mann auch bereit sein könnte, seine Auftraggeber zu enttarnen.


Und hier ist wieder eine neue Sicherheitslücke aufgetaucht, es ist abzuwarten bis da ein passender Wurm auftaucht:
http://www.silicon.de/cpo/news-itsecurity/detail.php?nr=23328


> Neues IE-Loch trifft voll gepatchte XP-Systeme
> 
> Microsoft untersucht Expertenbericht
> 
> ...


----------



## stieglitz (31 August 2005)

16 weitere Verhaftungen in der Türkei im Zusammenhang mit dem Zotob Fall, wie Heise berichtet:
http://www.heise.de/newsticker/meldung/63394
Scheinbar gehts da einigen mal richtig an den Kragen.


----------



## Anonymous (4 September 2005)

Ich hatte gestern abend, um meine Snort Konfiguration zu testen, einen Rechner ca 20 min direkt mit dem Internet (DMZ) verbunden. Die Kiste wurde in der kurzen Zeit von 18 IP Adressen mit Exploits unter Beschuß genommen. Daran sieht man, was das für eine Plage ist mit den 'Virenautoren' und 'Botnetzbetreibern'.


----------



## Anonymous (6 September 2005)

Interessante Forschungsergebnisse zum Zotob Wurm von VRT Sourcefire:


http://www.snort.org/rules/zotob_alert.html


----------

