ForeScout Security-Update Januar 2005

Ein neues Malware-Programm ist im Internet aufgetaucht
(PresseBox) (Bad Homburg, ) ForeScout Technologies Inc., führender internationaler Anbieter von Antiwurm- und Antihacker-Lösungen, informiert Anwender darüber, dass im Internet ein neues Malware-Programm aufgetaucht ist. Da es Rechner nicht automatisch infizieren kann und sich noch nicht selbst verbreitet, ist es derzeit als Trojaner kategorisiert, nicht als Wurm. Der Trojaner verbindet sich mit einem Remote-IRC-Server und kann unter anderem dazu gebracht werden, Rechner im Netzwerk zu infizieren.

Hauptname: Troj/Winser-A (Sophos)

Angegriffene Dienste:
Der Trojaner greift den WINS-Dienst an, der auf Microsoft Windows-Servern zu finden ist. WINS (Windows Internet Naming Service) arbeitet an TCP- und UDP-Port 42.

Betroffene Systeme
Microsoft Windows NT Server 4.0
Microsoft Windows Server 2000
Microsoft Windows Server 2003


Beschreibung
Kurz nach der Veröffentlichung einer Schwachstelle im WINS-Dienst durch Microsoft (am 14. Dezember 2004) verbreitete sich ein öffentlicher Exploit. Dieser Exploit, oder eine Variante des Exploit-Codes, war in ein Trojaner-Programm verpackt. Das Trojanische Pferd – das von einigen AV-Anbietern Winser genannt wurde – berichtet nach der Installation an den angreifenden Rechner und öffnet eine Hintertür – an der es auf weitere Anweisungen wartet.
Das Trojanische Pferd sendet Details in Bezug auf seinen Standort an einen öffentlichen IRC-Server. Von dort kann jeder anonyme Benutzer die vollständige Kontrolle über den infizierten Rechner übernehmen. Die Remote-Kontrollfunktionen reichen vom einfachen Neustart des Rechners bis hin zur Ausnutzung der WINS-Schwachstelle, um andere Rechner zu infizieren. Auch wenn dieser Trojaner nicht über die Fähigkeit der Selbstreproduktion verfügt, erwarten wir, dass bald davon abgeleitete Würmer WINS angreifen.

Lösung von ForeScout
Schon vor der Veröffentlichung dieser Schwachstelle durch Microsoft sorgten Produkte von ForeScout für eine erfolgreiche Erkennung und Abwehr von Eindringlingen, die nach Möglichkeiten suchten, WINS-Schwachstellen auszunutzen. Produkte von ForeScout erkennen Eindringlinge bereits beim Angriffsversuch, unabhängig davon, welchen Exploit-Code diese verwenden. ForeScouts ActiveScout oder WormScout blockieren jeden bösartigen Angreifer.


Links zu weiteren Informationen

http://www.microsoft.com/...

http://www.sophos.com/...

Den vollständigen Text der Pressemeldung zum download:

http://www.sauer-partner.com/...

Kontakt

ForeScout Technologies GmbH
Postfach 2342
D-61293 Bad Homburg
Social Media