Malware misbruikt kritiek lek in Server-services Windows
Gepubliceerd: Maandag 14 augustus 2006
Auteur: Wilbert de Vries
Nadat vorige week een exploit opdook voor het MS06-040 lek in Windows Server-service, is nu de eerste bot verschenen die het kritieke lek misbruikt.
Tijdens zijn maandelijkse patchdag in augustus maakte Microsoft onder meer een kritiek lek in Server-services bekend (MS06-040). Deze functionaliteit wordt standaard geïnstalleerd en geactiveerd en blijkt eenvoudig te kunnen worden misbruikt om een computer over te nemen.
De exploit werd eind vorige week gepubliceerd op de website van het Metasploit-project, een site die door zowel beveiligingsonderzoekers als hackers wordt bezocht.
Experts vrezen dat een worm die een dergelijke exploit gebruikt grote schade kan aanrichten. De eerste malware op basis van deze exploit, is afgelopen weekeinde opgedoken in de vorm van een bot.
Overigens zijn alleen gebruikers met Windows 2000 die de bewuste patch niet hebben geïnstalleerd vatbaar voor deze bot.
Na infectie zoekt de bot via irc contact met enkele servers in China. Ook zou de malware in staat zijn via AIM-accounts berichten te verzenden, een dos-aanval uit te voeren en zichzelf via bedrijfsnetwerken te verspreiden.
De bot heeft inmiddels diverse benamingen gekregen. Zo wordt deze door Microsoft Win32/Graweg genoemd, spreekt Symantec van W32.Wargbot, houdt Trendmicro het op Worm.ircbot.JK, heeft McAfee het over IRC.Mocbot en heeft F-secure gekozen voor de naam Ircbot-ST.
