Sehr gezielt seien die ersten Angriffe auf die kritische Sicherheitslücke in Windowsrechnern, die mit dem MS06-040-Patch gestopft wurde. Win32/Graweg.A und Win32/Graweg.B seien erste Varianten eines Wurmangriffs, die bislang gezielt Win2K-Rechner mit ungepatchter Lücke infizieren.

Bisher wird das Risiko als niedrig eingestuft, da die Malware auf angesteckten Rechnern nicht versucht, sich automatisch weiterzuverbreiten. Mit Hilfe älterer Technik, die bereits im Zotob-Wurm eingesetzt wurde, verbindet sich der Schadcode via IRC in einen passwortgeschützten Chatkanal, aus dem er vermutlich gesteuert werden kann.

Mit dem Lizenzchecker WGA nutzt der Wurm ein bekanntes Windows-”Feature”, um den Nutzer unauffällig zu erscheinen. Er installiert sich unter dem Namen wgareg.exe ins Systemverzeichnis, der gestartete Dienst nennt sich “Windows Genuine Advantage Registration Service”, der in seiner Info darauf hinweist, dass es sich um ein Prüfungstool Microsofts handelt, dessen Abschalten zu Systeminstabilität führt.Microsoft reagiert nicht nur auf dem technischen Weg: natürlich wird zum Patchen der Lücke aufgefordert und darauf hingewiesen, dass Rechner mit installiertem MS06-040 gegen die Angriffe immun seien. Darüberhinaus rät MS im Securityblog Kunden, das FBI zu kontaktieren, wenn sie vermuten, Opfer eines Angriffs geworden zu sein. Die nächstgelegene FBI-Dienststelle oder das Internet Crime Complaint Center sind die richtigen Anlaufstellen für US-Kundschaft, im Ausland wird an die jeweiligen Strafverfolger verwiesen.

Weitere Informationen:
Quelle: Gulli