Das Sicherheitsunternehmen F-Secure und Internet Storm Center (ISC) melden
einen neuen Wurm-Angriff im Internet. Der Wurm Dasher nutzt eine schon im
Oktober veröffentliche Windows-Sicherheitslücke im Microsoft Distributed
Transaction Coordinator (MSDTC). Microsoft hatte die Sicherheitslücke als
kritisch eingestuft und Sicherheits-Patches bereitgestellt. Bereits im Oktober
war nur einen Tag nach Veröffentlichung der MSDTC-Sicherheitslücke der erste
Exploit für die Schwachstelle aufgetaucht.
Die erste Version des Wurms, von F-Secure
als " Dasher.A " bezeichnet, funktioniert nicht, da sie Fehler
enthält. So benötigt sie einen bestimmten Download-Server in China, der jedoch
nicht mehr erreichbar ist.
Kurze Zeit
später taucht jedoch eine zweite Version auf, " Dasher.B ".
Kann der Wurm eindringen, installiert er
einen Keylogger, den er mit einem Rootkit tarnt. Das bedeutet, dass dieser kaum
noch zu finden sein wird, wenn er erstmal installiert ist. Von der
MSDTC-Schwachstelle sind Windows XP mit Service Pack 2 und Windows 98/Me nicht
betroffen.
Nach der
Beschreibung von Symantec legt der Dasher-Wurm eine Reihe von Dateien
(SqlExp.exe, SqlScan.exe, svchost.exe) im Verzeichnis "wins"
innerhalb des System32-Verzeichnisses von Windows an und startet das Programm
"svchost.exe" von dort. Er sucht dann weiter nach angreifbaren
Rechnern. Bei Trend Micro wird der Schädling als " WORM_DASHER.B "
geführt