|
|
|
|
|
Symantec.com > Unternehmen > Security Response > W32.Zotob.E
DIESE SEITE DRUCKEN

W32.Zotob.E

Risikostufe3: Mittel

Entdeckt am:
16 August 2005
Aktualisiert:
13 Februar 2007 12:44:05 PM
Auch bekannt als:
CME-540, Win32/Zotob.E!Worm [Computer A, Bozori.A [F-Secure], Net-Worm.Win32.Bozori.a [Kaspe, W32/IRCbot.worm!MS05-039 [McAf, W32/Tpbot-A [Sophos], WORM_ZOTOB.E [Trend Micro], W32/Bozori.A [Norman]
Typ:
Worm
Infektionslänge:
10.366 Byte
Betroffene Systeme:
Windows 2000


W32.Zotob.E ist ein Wurm, der eine Hintertür öffnet und die Microsoft Windows-Plug-and-Play-Pufferüberlauf-Schwachstelle (beschrieben im Microsoft Security Bulletin MS05-039) auf TCP-Port 445 ausnutzt.

Hinweise:
  • Es wurde berichtet, dass von W32.Zotob.E angegriffene Computer während der Ausführung des schädlichen Codes instabil sein können. Dies hat möglicherweise zum Ergebnis, dass der Prozess services.exe beendet wird, wodurch der angegriffene Computer heruntergefahren wird.
  • Virendefinitionen der Version 70816y (erweiterte Version 8/16/2005 rev. 25) oder höher werden benötigt, um dieses Risiko zu erkennen.
  • Kunden, die Norton Internet Security 2005 AntiSpyware Edition und Symantec AntiVirus Corporate Edition 10.x ausführen, können die Fehlerbehebungsfunktionalität des Produkts verwenden, um dieses Risiko zu entfernen.
  • Windows 95/98/Me/NT4/XP-Computer können zwar nicht von einem entfernten Computer aus infiziert werden, jedoch können sie infiziert werden, wenn W32.Zotob.E lokal ausgeführt wird (dies ist allerdings nicht sehr wahrscheinlich). Anfällige Windows 2000-Computer können dann durch den angegriffenen Computer infiziert werden.


Termine für Antivirus-Schutz

  • Erste Rapid Release-Version16 August 2005
  • Neueste Rapid Release-Version28 September 2010Änderung054
  • Erste Daily Certified-Version16 August 2005
  • Neueste Daily Certified-Version28 September 2010Änderung036
  • Datum der ersten Weekly Certified-Version16 August 2005
Klicken Sie hier, um eine ausführliche Beschreibung der Rapid Release- und Daily Certified-Virendefinitionen zu erhalten.

Beurteilung der Bedrohung

Im Umlauf

  • Im Umlauf:Medium
  • Anzahl der Infektionen:0 - 49
  • Anzahl der Websites:More than 10
  • Geografische Verbreitung:Low
  • Bekämpfungschance:Easy
  • Entfernung:Moderate

Schaden

  • Schadensstufe:Medium
  • Auslöser des destruktiven Auftrags:Nicht verfügbar
  • Funktion:Versucht, eine Hintertür zu öffnen
  • E-Mail-Versand in großem Maßstab:Nicht verfügbar
  • Löschen von Dateien:Nicht verfügbar
  • Ändern von Dateien:Nicht verfügbar
  • Offenlegung vertraulicher Informationen:Nicht verfügbar
  • Herabsetzen der Systemleistung:Versucht, Netzwerkverbindungen und eine routbare IP-Adresse zu erkennen.
  • Verursachen von Systeminstabilität:Nicht verfügbar
  • Manipulation von Sicherheitseinstellungen:Nicht verfügbar

Verteilung

  • Grad der Verteilung:High
  • Titel der E-Mail (Betreffzeile):Nicht verfügbar
  • Name des Anhangs:Nicht verfügbar
  • Größe des Anhangs:Nicht verfügbar
  • Ports:Nicht verfügbar
  • Freigegebene Laufwerke:Nicht verfügbar
  • Ziel der Infektion:Zielt auf Systeme ab, die durch die Microsoft Windows-Plug-and-Play-Dienst-Schwachstelle (MS05-039) ausgenutzt werden können.
  • Datum des Anhangs:Nicht verfügbar
Dokument verfasst von:Maryl Magee
Technische Details
©1995 - 2012 Symantec Corporation
Wegweiser|
Rechtliche Hinweise|
Impressum|
Datenschutz|
Kontakt|
Weltweit|
Lizenzvereinbarungen