Die Sicherheitsexperten aus dem Hause H+BEDV Datentechnik empfehlen allen Anwendern der Betriebssysteme Windows 2000, Windows XP SP1 und Windows Server 2003, vor dem neuen Wurm Worm/Zotob.E auf der Hut zu sein. Dieser Wurm nutzt die erst vor einer Woche gepatchte Sicherheitslücke MS05-039 aus.
Der 10.366 Bytes große Wurm verbreitet sich direkt über das Netzwerk. Betroffen hiervon sind vor allem Windows 2000 Rechner, welche noch nicht mit dem aktuellen Sicherheitspatch von Microsoft ausgestattet sind. Findet der Wurm einen ungesicherten Computer, so erstellt er dort eine Batchdatei, welche den Wurm mittels des Programms TFTP auf den Computer nachlädt und startet. Dieses Verfahren nutzte früher schon der ‚Blaster‘ alias ‚Lovsan‘-Wurm.
Um für eine schnelle Verbreitung zu sorgen, versucht der Wurm, mehrere Verbindungen zu anderen Computern gleichzeitig aufzubauen. Das eigene Netzwerk und die Rechenleistung werden hierdurch beeinträchtigt. Um nach einem Neustart des Betriebssystems wieder aktiv zu werden, wird der
Registry-Eintrag:
‚HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run‘
mit dem Wert:
‚Wintbp‘ = ‚%SYSDIR%\wintbp.exe‘
erstellt. Die Antivirenspezialisten von H+BEDV raten, dringend das von Microsoft veröffentlichte Sicherheitspatch einzuspielen. Zwar schützt eine Firewall vor einer direkten Infektion, jedoch kann der Wurm mittels Notebooks in das Firmennetzwerk eindringen.
