Duke
29.05.09, 23:55
Sicherheitsexperten warnen derzeit vor einem Wurm, der nach derzeitigen Erkenntnissen noch gefährlicher sein soll als Conficker. Er trägt den Namen Gumblar.
Der Schädling verbreitet sich über manipulierte Webseiten. Kann er sich auf diesem Weg auf einem PC einnisten, sucht er dort nach FTP-Zugangdaten zu weiteren Online-Inhalten. Automatisiert bemüht er sich dann, auf weitere Webserver zu gelangen und mehr Besucher zu infizieren.
Der Wurm nutzt zum Eindringen in einen PC Sicherheitslücken im Flash Player sowie im Adobe Reader. Das Erkennen des Schädlings durch Antiviren-Scanner falle nach Angaben des Sicherheitsunternehmens ScanSafe relativ schwer, weil die Entwickler die Malware mit einem sich ständig ändernden, dynamischen Script-Code versehen haben.
Die infizierten Rechner weisen Eigenschaften von typischen Botnetz-Zombies auf. Allerdings ist bisher noch nicht geklärt, zu welchen Zwecken die so entstehende Infrastruktur genutzt werden soll.
Verlässliche Tests auf eine Infektion gibt es derzeit noch nicht. Anhaltspunkte auf einen Befall bietet allerdings die im Windows-Systemverzeichnis zu findende Datei "sqlsodbc.chm". Deren SHA1-Hash kann mit einer Liste bei ScanSafe (http://blog.scansafe.com/journal/2009/5/27/gumblar-modified-sqlsodbcchm-clue-to-infection.html) abgeglichen werden. Ist der Wert dort nicht zu finden, ist die Datei vermutlich durch Gumblar manipuliert worden. Den Hash kann man beispielsweise mit dem Tool FileAlyzer (http://www.safer-networking.org/en/filealyzer/index.html) ermitteln. Einzige aktuell bekannte Maßnahme gegen den Wurm ist eine komplette Neuinstallation.
©winfuture.de (http://winfuture.de/news,47521.html)
Der Schädling verbreitet sich über manipulierte Webseiten. Kann er sich auf diesem Weg auf einem PC einnisten, sucht er dort nach FTP-Zugangdaten zu weiteren Online-Inhalten. Automatisiert bemüht er sich dann, auf weitere Webserver zu gelangen und mehr Besucher zu infizieren.
Der Wurm nutzt zum Eindringen in einen PC Sicherheitslücken im Flash Player sowie im Adobe Reader. Das Erkennen des Schädlings durch Antiviren-Scanner falle nach Angaben des Sicherheitsunternehmens ScanSafe relativ schwer, weil die Entwickler die Malware mit einem sich ständig ändernden, dynamischen Script-Code versehen haben.
Die infizierten Rechner weisen Eigenschaften von typischen Botnetz-Zombies auf. Allerdings ist bisher noch nicht geklärt, zu welchen Zwecken die so entstehende Infrastruktur genutzt werden soll.
Verlässliche Tests auf eine Infektion gibt es derzeit noch nicht. Anhaltspunkte auf einen Befall bietet allerdings die im Windows-Systemverzeichnis zu findende Datei "sqlsodbc.chm". Deren SHA1-Hash kann mit einer Liste bei ScanSafe (http://blog.scansafe.com/journal/2009/5/27/gumblar-modified-sqlsodbcchm-clue-to-infection.html) abgeglichen werden. Ist der Wert dort nicht zu finden, ist die Datei vermutlich durch Gumblar manipuliert worden. Den Hash kann man beispielsweise mit dem Tool FileAlyzer (http://www.safer-networking.org/en/filealyzer/index.html) ermitteln. Einzige aktuell bekannte Maßnahme gegen den Wurm ist eine komplette Neuinstallation.
©winfuture.de (http://winfuture.de/news,47521.html)