#1 1. September 2006 Nach Angaben des Internet Storm Centers nehmen die Angriffe auf Windows-Systeme über das Internet derzeit zu. Ursache dafür soll der Wurm Vanebot-A sein, der versucht über die Lücke im Windows Server Service (MS06-040) in verwundbare Rechner einzudringen. Ein Indiz dafür ist die hohe Zahl der Zugriff auf den TCP-Port 139 (NetBIOS-Session), über den der Wurm Schadcode in das angegriffene System schleust und startet. Ein erster IRC-Bot der die Lücke ausnutzte, war bereits eine Woche nach Bekanntwerden der Sicherheitslücke im Netz unterwegs. Je nach Version sind die Schädlinge in der Lage, Windows NT, Windows 2000 und angeblich sogar Windows XP zu befallen. Zwar sollte der Port 139 aus Sicherheitsgründen über das Internet nicht erreichbar sein. Allerdings scheinen immer noch Systeme ohne Firewall am Netz zu hängen. Der Hersteller von Sicherheitslösungen CipherTrust verzeichnete daher bereits vergangene Woche einen starken Anstieg von durchschnittlich 214.000 PCs auf 265.000 PCs täglich, die über Sicherheitslücken in Zombie-PCs verwandelt und als Spamschleudern missbraucht wurden. Neben dem Fehlen der Firewall trägt auch dazu bei, dass trotz aller Warnungen offenbar immer noch nicht alle Anwender Updates von Microsoft zeitnah installieren. Vanebot-A ist ein klassischer IRCBot, der nach der Infektion über Port 4915 Verbindung zum IRC-Server forum.ednet.es aufbaut und Befehle entgegennimmt. Unter anderem verfügt er über Funktionen für DDoS-Angriffe und kann weitere Dateien nachladen. Zudem versucht er Login-Information von eBay, e-Gold, PayPal und anderen Banken zu stehlen. Neben der Lücke im Server Service nutzt Vanebot auch ältere von Microsoft in den Bulletins MS04-007, MS05-017 und MS05-039 beschriebene Schwachstellen aus, um in ein System einzudringen. Einige Hersteller von Antivirensoftware haben bereits Signaturen bereit gestellt, mit denen der Schädling erkannt wird. Quelle: heise.de + Multi-Zitat Zitieren