Wurm kommuniziert via DNS-Dienst

– Um mit seinem Trojaner zu kommunizieren, nutzt ein neuer Internet-Wurm den Service eines deutschen DNS-Dienstes. Bobax verwendet den dynamischen Service von DNS4BIZ http://www.dns4biz.de um seine Attacken vorzubereiten. Wie Andreas Wilkens vom DNS4BIZ-Betreiber Companity mitteilt, wurden aber bereits Gegenmaßnahmen eingeleitet und die Kommunikationswege des Wurms unterbrochen.Bobax dringt über die gleiche LSASS-Sicherheitslücke wie Sasser in Windows-XP-Systeme ein. Die Ziele, die er verfolgt, sind bisher aber noch unklar. Laut Companity kann eine weitere Ausbreitung des Wurms vorläufig nicht verhindert werden. Sicher scheint hingegen, dass das Schadprogramm zunächst über einen Portscan prüft, ob das jeweilige System unter Windows-XP läuft. Ist das der Fall, nistet sich der Trojaner auf dem jeweiligen Rechner ein. Anders als der Sasser-Virus macht er sich jedoch vorerst nicht durch ständiges Abstürzen bemerkbar. Stattdessen öffnet er offenbar ein Hintertürchen, das einen Zugriff von außen erlaubt und vermutlich zur SPAM-Verbreitung aber auch zu anderen Zwecken dienen könnte. Nach derzeitigen Erkenntnissen ist Companity neben einem US-amerikanischen Unternehmen der zweite DNS-Dienst, den der Trojaner für seine Zwecke zu nutzen versucht.