Wurm Dasher nutzt Windows-Lücke [Update]

Die Entwicklung vom Windows-Patch über einen öffentlich verfügbaren Exploit bis hin zum Wurm ist einmal mehr vollzogen: Dasher.b installiert auf Systemen, die den Patch aus MS05-051 nicht installiert haben, einen Keylogger samt Rootkit. Gefährdet sind vor allem Windows 2000-Systeme; XP-Rechner mit Service Pack 2 sind nicht betroffen. In Deutschland ist die Verbreitung offenbar eher gering; sie hat ihren Schwerpunkt anscheinend in China.

Der Wurm nutzt ein Sicherheitsloch im Microsoft Distributed Transaction Coordinator (MSDTC). Microsoft stellte für mehrere Schwachstellen im MSDTC im Oktober einen Sammel-Patch bereit. Kurz danach tauchten die ersten Exploits auf. Der Wurm war dem Internet Storm Center zunächst durch plötzlich angestiegene Aktivitäten auf dem TCP-Port 1025 aufgefallen. Kurze Zeit später lieferte Georg Wicherski, Autor von mwcollect, die Erklärung in Form eines abgefangenen Wurm-Samples. Während die erste Version Dasher.A an diversen Fehlern krankte, findet ihr Nachfolger Dasher.B offenbar mehr Opfer. Symantec führt in seiner Security Response Database inzwischen auch eine Variante Dasher.c.

Siehe dazu auch: (boi)

• Microsoft Patchday: Drei kritische Updates, am 11.10. auf heise Security
• Exploits für aktuelle Windows-Lücken, am 13.10. auf heise Security
• Exploit für kritische Sicherheitslücke in Windows veröffentlicht, am 28.11. auf heise Security
• Dasher.b, Wurmbeschreibung von F-Secure
• Dasher.c, Wurmbeschreibung von Symantec
• MS05-051 - Sicherheitsanfälligkeiten in MSDTC und COM+ können Remotecodeausführung ermöglichen (902400), Security Bulletin von Microsoft