Der Wurm nutzt den PnP Exploit der letzte Woche zum Patchday von MS behandelt wurde.
Der Wurm infiziert das System über Port 445/TCP, öffnet nach erfolgreicher Infektion einen FTP Server (zufalls Portnummer) und verbindet sich als Drone wie gewohnt zum IRC.
Das ganze ist nicht so schlimm (und wird vmtl. auch nicht so schlimm werden) weil:
1)
Der Patch MS05-039 ist raus und schützt erfolgreich.
2)
Windows XP SP2 & Windows 2003 sind von dem WURM nicht betroffen. (no valid logon)
Der Exploit funktioniert unter diesen Systemen aber sehr wohl.
3)
Wer port 445 gesperrt hat ist geschützt.
Heise hat die news noch nicht, aber:
http://www.f-secure.com/weblog/
*Edit:
den namen für den kleinen schnukki hab ich ganz vergessen: Zotob
http://www.f-secure.com/v-descs/zotob_a.shtml
Vielleicht kommt ja noch was, folgendes ist als Nachricht im Wurm enthalten:
MSG to avs: the first av who detect this worm
will be the first killed in the next 24hours!!!
