Thema: Plug&Play-Wurm Zotob im Internet unterwegs [Update]

[SiLæncer]

Ein neuer Wurm namens Zotob nutzt die letzte Woche bekannt gewordene Schwachstelle der Windows Plug&Play-Schnittstelle, um Windows-Systeme übers Netz zu infizieren. Microsoft hat letzte Woche einen Patch für dieses Problem bereit gestellt; bereits wenige Tage danach sind erste Exploits veröffentlicht worden. Gefährdet sind vor allem ungepatchte Windows-2000-Systeme, weil hier der Zugriff auf die Plug&Play-Dienste anonym übers Netz möglich ist.
Anzeige

Windows-XP-Systeme mit Service Pack 2 und Windows 2003 Server erfordern dazu laut Microsoft eine erfolgreiche Authentifizierung als Administrator, bei Windows XP mit Service Pack 1 genügt der Zugang zu einem eingeschränkten Benutzerkonto. Diese Systeme kann Zotob folglich nicht infizieren, ohne beispielsweise Zugangsdaten zu erraten.

Zotob verbreitet sich über Pakete an den TCP Port 445. Bei Erfolg nimmt er via FTP Kontakt zu dem Rechner auf, von dem er kommt, und lädt weiteren Schadcode nach, den er dann als haha.exe speichert und ausführt. Des weiteren öffnet er einen Kanal ins IRC, über den er sich fernsteuern lässt, um beispielsweise weitere Module nachzuladen. Im System verewigt sich der Wurm in der Registry unter

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

mit dem Schlüssel "WINDOWS SYSTEM" = "botzor.exe", sodass er bei jedem Systemstart aktiviert wird. Des weiteren leitet Zotob Zugriffe auf diverse Internet-Adressen über Einträge in der Hosts-Datei auf das Loopback-Device um und verhindert damit Updates von Antiviren-Software. Schließlich enthält der zur Mytob-Familie gehörende Wurm mit

MSG to avs: the first av who detect this worm
will be the first killed in the next 24hours!!!

eine Drohung gegen Antiviren-Hersteller, die beispielsweise F-Secure mit der nüchternen Feststellung quittiert, dass sie den Wurm mit dem Update 2005_08_14-01 erkennen.

Das Szenario ist zwar vergleichbar zum Sasser-Wurm, mit einer ähnlichen Epedemie rechnen aber zum Beispiel die Virenexperten von F-Secure nicht, da Zotob Windows-XP-Systeme mit SP2 nicht infizieren könne. Administratoren und Anwender sollten sich jedoch keinesfalls auf den Schutz ihrer Firewall verlassen, die Zugriffe über TCP Port 445 blockiert, sondern schnellst möglichst den Microsoft-Patch einspielen. Frühere Würmer haben nachdrücklich demonstriert, dass sonst ein beispielsweise über ein infiziertes Notebook ins Firmennetz eingeschleppter Wurm beträchtlichen Schaden anrichten kann.
Update:
Microsoft hat das Plug&Play-Advisory aktualisiert und berichtet, dass man den Schädling "Worm:Win32/Zotob.A” derzeit untersuche. Ersten Ergebnissen zufolge enthält er keinen Code, um eine Authentifizierung durchzuführen und kann deshalb Systeme mit Windows Server 2003 und Windows XP mit Service Pack 1 oder 2 nicht befallen. Windows 98 -- auch als SE

* Jürgen -- ist von dem Plug&Play-Problem ohnehin nicht betroffen. Da der Patch gegen den Befall mit Zotob schützt, sieht man in Redmond ausschließlich Gefahr für ungepatchte Windows-2000-Systeme.

Siehe dazu auch:

    * Beschreibung zu Zotob.A von F-Secure
    * Beschreibung zu Zotob.A von Symantec
    * Beschreibung der Lücke und Patch im Microsoft Security Bulletin MS05-039
    * Plug&Play-Advisory von Microsoft

(ju/c't)

Quelle und Links : http://www.heise.de/newsticker/meldung/62802

[SiLæncer]

Das Internet Storm Center weist darauf hin, dass der Plug&Play-Wurm Zotob nicht nur Windows 2000 über das Netzwerk befallen kann, sondern in bestimmten Fällen auch Windows Server 2003. So nutzt Zotob zum Infizieren von Windows 2000 so genannte Null Sessions, mit denen sich ohne echte Authentifizerung beispielsweise Nutzerkonten, Shares, Gruppen und andere Informationen abfragen lassen.

In Standardinstallationen von Windows XP SP2 und Windows Server 2003 sind diese Null Sessions deaktiviert. Unter Umständen ist es jedoch laut ISC erforderlich, diese wieder zu aktivieren, beispielsweise wenn ein System als SQL- oder Exchange-Server oder als Domänen-Controller arbeiten soll. Dann kann Zotob auch in diese System eindringen.

Ob Null Sessions auf dem System zugelassen sind, können Administratoren in der Registry HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymoussam und HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous überprüfen. Sofern diese Werte auf 1 gesetzt sind, sind keine anonymen Zugriffe möglich.

Alternativ lassen sich die Einstellungen auch in den lokalen Sicherheitsrichtlinien (/Programme/Verwaltung/) unter den Punkten /Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen kontrollieren. Anonyme Aufzählung von SAM-Konten nicht erlauben sowie Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben sollten auf "Aktiviert" stehen.

Je nach Fall genügt es auch, nur einen Wert zu aktivieren. Hier sind aber weitere Tests erforderlich, um einen Kompromiss zwischen Sicherheit und Funktion zu finden. Allerdings lässt sich das Problem auch durch die Installation des Patches auf einen Schlag beseitigen.

Update
Microsoft hat sein Advisory zu der Plug&Play-Lücke und dem Wurm Zotob aktualisiert. Demnach können Windows Server 2003 und Windows XP SP2 selbst dann nicht infiziert werden, wenn die genannten Werte in der Registry auf 0 beziehungsweise auf "Deaktiviert" gesetzt sind. Andersrum lässt sich aber Windows 2000 nächtraglich sichern. Laut Microsoft müsse dazu der Schlüssel RestrictAnonymous auf 2 gesetzt werden, damit keine anonymen Verbindungen mehr möglich sind. Allerdings sei dies ohne ausführliche Tests nicht in Produktionsumgebungen zu empfehlen, da erhebliche Kompatibilitätsprobleme zu erwarten seien.

Quelle und Links : http://www.heise.de/newsticker/meldung/62838

[Jürgen]

Der Computerwurm Zotob in einer seiner mittlerweile vielen Varianten hat die IT-Systeme zahlreicher Unternehmen in der ganzen Welt befallen. Wie US-Medien berichteten, seien die Computer der amerikanischen Fernsehanstalten CNN und ABC, der Nachrichtenagentur AP, der Tageszeitung New York Times sowie des Capitols in Washington und verschiedener US-Unternehmen teilweise lahm gelegt worden. CNN meldete, dass auch der größte US-Baumaschinenkonzern Caterpillar in Peoria (Illinois) betroffen war. Laut dem Wall Street Journal sind zudem die IT-Systeme von Disney, Kraft Foods und United Parcel betroffen gewesen, es sei aber kein größerer Schaden entstanden. Ein Sprecher von DaimlerChrysler in den USA erklärte gegenüber dem Blatt, in 13 Produktionswerken des Konzerns sei der Wurm massiv aufgetaucht; es habe aber keine Störungen gegeben.

Der Wurm namens Zotob nutzt die Schwachstelle der Plug&Play-Schnittstelle, um Windows-Systeme übers Netz zu infizieren. Microsoft hat letzte Woche einen Patch für dieses Problem bereit gestellt; bereits wenige Tage danach sind erste Exploits veröffentlicht worden. Mittlerweile zählt beispielsweise Symantec bereits die Variante E des Wurms, Nach Informationen der Antiviren-Hersteller läuft der Wurm nicht nur auf Windows 2000, sondern kann, auf Systemen mit Windows 95/98/Me, NT4 und Windows XP gestartet, diese Systeme nutzen, um andere Rechner, die übers Netz erreichbar sind, zu infizieren. Die Backdoor-Funktionen etwa entfaltet Zobot bislang nur unter Windows 2000. Trend Micro warnt zudem vor dem Wurm unter dem Namen WORM_RBOT.CBQ, der an den Infektionen der US-Systeme über die Plug&Play-Sicherheitslücke beteiligt sein soll und auf infizierten Systemen über IRC-Channel auf Befehle wartet. McAfee beschreibt diesen Wurm als W32/IRCbot.worm!MS05-039.

Anwender sollten so schnell wie möglich die von Microsoft herausgegebenen Patches für die jüngst bekannt gewordenen Sicherheitslücken, darunter das Leck in der Plug&Play-Schnittstelle, installieren. Weitere Hinweise zum Schutz vor Viren und Würmen bieten die Antiviren-Seiten von heise Security.

Siehe dazu auch:

    * Plug&Play-Wurm Zotob im Internet unterwegs
    * Plug&Play-Wurm Zotob nicht nur auf Windows 2000 beschränkt

    * W32.Zotob.E, Wurmbeschreibung von Symantec
    * WORM_RBOT.CBQ, Wurmbeschreibung von Trend Micro
    * W32/IRCbot.worm!MS05-039, Wurmbeschreibung von McAfee

    * Security Advisory 899588 zur Lücke in der Plug&Play-Schnittstelle von Microsoft
    * Security Bulletin MS05-039 von Microsoft zum Patch-Day im August

(jk/c't) Quelle und Links:
http://www.heise.de/newsticker/meldung/62874

[Jürgen]

Antivirenhersteller melden eine Flut neuer Würmer und Bots, die die Plug&Play-Schwachstelle unter Windows 2000 ausnutzen. Derzeit benutzen die Hersteller für die verschiedenen Varianten die Namen Zotob, Bozori, IRCBot, RDBot, Esbot, Mytob, CodBot, SDBot und Drudgebot -- jeweils mit verschiedenen Suffixes. Allerdings gibt es hier zahlreiche Überschneidungen. Während Bitdefender den Wurm Zotob.D nennt, heißt er bei Kaspersky Bozori.A, bei Panda IRCbot.KC und bei Sophos sogar Tpbot-A.

Trotz der Dubletten ist die Zahl der Zotob-Varianten beeindruckend. Offenbar stammen die Schädlinge von mehreren konkurrierenden Programmierern. Nach Einschätzung von F-Secure könnte es sich um einen Wettstreit von zwei oder drei Gruppen von Virenschreibern handeln, die um das größte Netzwerk infizierter PCs streiten. So versucht beispielsweise Zotob.F nach einer Infektion eventuell bereits laufende Bozori- und IRCBot-Würmer abzuschalten. Im Gegenzug machen Bozori-Ableger die Runde, die Zotob-Prozesse und weitere Plug&Play-Würmer abschießen. Ein ähnlichen Kleinkrieg gab es bereits 2004 zwischen den Autoren von Netsky und MyDoom.
-/-
(dab/c't) Der ganze Artikel mit Links

Quelle: www.heise.de

[SiLæncer]

Update
Trend Micro hat seine Beschreibung zu Zotob.C korrigiert. Demnach ist der Wurm durchaus in der Lage sich per SMTP zu verbreiten.

Der Hersteller Kaspersky übt derweil gemäßigte Kritik an der Berichterstattung einiger Medien. So habe Kaspersky zwar recht früh Signaturen für Zotob veröffentlicht, aber noch keine einzige Infektion registiert. Auch sei der Netzwerkverkehr nicht nennenswert in die Höhe gegangen. Vergleiche einiger Publikationen mit der früheren Sasser-Epidemie seien daher unzulässig. Einige der veröffentlichten Informationen sind nach Meinung des Herstellers zu spekulativ und nicht durch Fakten zu untermauern.

Quelle : www.heise.de

[SiLæncer]

Am Dienstag Abend (nach US-Zeit) riefen mehrere Antivirus-Hersteller eine erhöhte Warnstufe aus , weil sie eine zunehmende Verbreitung von Würmern des "Zotob"-Typs sahen. Dem widersprechen nun Kaspersky Labs und Microsoft.

Der Antivirus-Hersteller Kaspersky Labs stellt seine Sicht in einer Pressemitteilung dar. Die Verbreitung der Würmer, die die Plug&Play-Sicherheitslücke (MS05-039) in Windows ausnutzen, sei keineswegs dramatisch. Man habe keine Meldungen von betroffenen Anwendern erhalten und auch keinen signifikaten Anstieg von Netz-Aktivitäten beobachtet, der auf diese Würmer zurück geführt werden könnte. Während der "Sasser-Epidemie" im Mai 2004 sei es hingegen zu einem Anstieg der Netz-Aktivitäten um 20 bis 40 Prozent gekommen.

Bei Microsoft ist man offenbar der gleichen Meinung. Im Blog des Microsoft Sicherheits-Teams schreibt Mike Reavey, die Zahl der Infektionen mit Zotob und anderen derartigen Würmern sei bislang gering. Man beobachte weiterhin die Lage und untersuche jeden neu auftauchenden Schädling. Reavey betont auch, dass Anwender mit Windows XP von Würmern, die die Plug&Play-Schwachstelle ausnutzen, nicht gefährdet sind. Nur Windows 2000 sei bedroht und davor würde die Installation des in der letzten Woche bereit gestellten Sicherheits-Updates schützen.

Während Computer Associates, F-Secure, Trend Micro und Symantec ihre mittlere Warnstufe für jeweils ein bis zwei der Würmer aufrecht erhalten, hat McAfee die ursprünglich auf "high" gesetzte Warnstufe für "W32/IRCbot.worm!MS05-039" (alias Zotob.E) inzwischen gleichfalls auf "medium" abgesenkt. Je nach Antivirus-Hersteller und dessen Zählweise sind mittlerweile mehr als ein Dutzend Würmer und Varianten bekannt, die auf die Plug&Play-Schwachstelle zielen. Täglich werden mehrere weitere Varianten entdeckt.

Anwender mit Windows 2000 sollten das Sicherheits-Update " 899588 " aus dem Security Bulletin MS05-039 möglichst umgehend installieren, damit sie vor diesen Würmern geschützt sind und nicht zu deren Ausbreitung beitragen.

Quelle : www.pcwelt.de

[SiLæncer]

Microsoft hat eine neue Version des "Malicious Software Removal Tools" (MSRT) veröffentlicht. Nachdem in dieser Woche eine Reihe von Windows-Anwendern Würmer auf ihren Rechnern meldeten, die offenbar die Sicherheitslücke "MS05-039" ausnutzen, hat Microsoft erstmals außerhalb des üblichen monatlichen Zyklus eine aktualisierte Fassung des MSRT bereit gestellt.

Die neue Version 1.7.1 soll fünf Varianten der Zotob-Würmer (A bis E) sowie fünf weitere, ähnliche Würmer erkennen und beseitigen können. Alle diese Würmer nutzen die Plug&Play-Schwachstelle in Windows aus.

Microsoft weist darauf hin, dass die MSRT-Fassung, die über das Windows-Update bezogen werden kann, automatisch im Hintergrund läuft und sich nur meldet, wenn sie etwas gefunden hat. Wer das Programm häufiger als einmal im Monat benutzen will, sollte laut Microsoft die Version herunter laden, die es im Download-Center gibt.

Microsoft fordert Windows-Anwender weiterhin nachdrücklich auf, die bereitgestellten Sicherheits-Updates möglichst bald zu installieren. Wer dies tue, sei vor möglichen Angriffen dieser Würmer geschützt.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/118256/index.html

[SiLæncer]

Der Wurm Zotob hat sich in mehreren Varianten sehr schnell verbreitet. Wir haben gemessen, wie schnell die Hersteller von Antivirenprogrammen passende Updates gegen den Schädling herausgebracht haben.

Der ganze Artikel

Quelle : www.pcwelt.de

[SiLæncer]

Obwohl die Würmer, die einen Schwachpunkt in der Plug&Play-Schnittstelle von Windows ausnutzen, sich nicht zu einer globalen Epidemie ausgeweitet haben, gab und gibt es erhebliche Probleme damit innerhalb lokaler Netzwerke. Unternehmen wie die amerikanische Fernsehsender CNN und ABC verschanzen ihr Netzwerk hinter Firewalls, vernachlässigen jedoch anscheinend zum Teil die Wartung der internen PCs.

Wenn im Folgenden von "Zotob" die Rede ist, sind auch diejenigen Würmer gemeint, die unter anderen Namen wie "Bozori", "IRCbot.worm!MS05-039" oder "Esbot" geführt werden. Alle nutzen die im Security Bulletin MS05-039 beschriebene Sicherheitslücke in Windows aus.

Widersprüchliche Ansichten über den Grad der Verbreitung dieser Würmer lassen sich möglichweise dadurch erklären, dass es eine Reihe publik gewordener Fälle gibt , in denen bekannte Unternehmen betroffen waren. Die meisten Privatanwender haben Windows XP installiert, das die Zotob-Würmer nicht angreifen können. In vielen Unternehmen wird jedoch noch Windows 2000 eingesetzt, das ohne Sicherheits-Update den Würmern nicht gewachsen ist.

Unternehmensnetzwerke sind meist durch Firewall-Konzepte gegen Angriffe von außen gewappnet. Daher gehen die Administratoren wohl zum Teil davon aus, dass sie bei den Arbeitsplatzrechnern auf die Installation von Sicherheits-Updates verzichten können - oder dies zumindest keine Eile hat. Ist ein Wurm wie Zotob erstmal im lokalen Netzwerk (LAN), kann er sich daher relativ ungehindert ausbreiten, wenn die vorhandenen Virenscanner ihn noch nicht erkennen.

Wie aber kommen die Würmer ins LAN, wenn sie nicht durch die Firewall gelangen? Es sind oft mobile Geräte wie Notebooks von Außendienstmitarbeitern, die Viren und Würmer einschleppen. Ihre Benutzer gehen unterwegs kaum geschützt ins Internet und kommen dann mit einem aktiven Schädling auf der Festplatte wieder in die Firma. Hier hängen sie ihr Notebook einfach ins LAN und verbreiten die Seuche intern weiter.

Die Lehre, die daraus zu ziehen ist, hat zwei Aspekte: Die vermeintlich durch Hardware-Firewalls geschützten Rechner im LAN müssen bei Bekanntwerden einer neuen Sicherheitslücke schnell gepatcht werden. Das Zeitfenster dafür wird immer kleiner. Mobile Rechner müssen stets mit aktuellen Sicherheits-Updates sowie zusätzlichen Schutzmaßnahmen wie Desktop Firewalls und aktuellen Virenscannern ausgestattet sein. Bevor sie wieder an das lokale Netzwerk angeschlossen werden, sollten sie sorgfältig überprüft werden.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/118338/index.html

[Jürgen]

...und das gilt nicht nur für Notebooks, sondern auch für USB-Sticks, CDs, DVDs, Floppies, Daten moderner Ohr-Beleuchter (Multimedia-Handys   ) und so weiter und so fort!
Auch für den Big Boss darf da ein Admin keine Ausnahmen machen, bloss weil der irgendwas aufregendes nicht zum Laufen kriegt, mit seinem "Bin'sch schon drin äh"...
In zwei Firmen habe ich schon erlebt, dass auch Chäffä zum Schweinigeln neigen kann und schnell zum Tier wird, wenn der allerneuste Schmutz nich' hoppeln will...
Die grösste Unfall-Gefahr sitzt oft am Lenkrad  

[SiLæncer]

Zusammen mit Strafverfolgern in Marokko und der Türkei habe man zwei Personen festnehmen können, die im Verdacht stünden, die Würmer Mytob und Zotob entwickelt und im Internet freigesetzt zu haben, verkündete das FBI. Auch Microsoft habe bei den Ermittlungen, die zu den Verhaftungen geführt hätten, geholfen. Ein in Russland geborener Marokkaner, der unter dem Pseudonym "Diablo" aktiv gewesen sei, sowie ein ein Türke mit dem Pseudonym "Coder" würden nun nach dem Strafrecht in den jeweiligen Ländern angeklagt.

Das FBI sieht die schnellen Ermittlungserfolge in diesem Fall als ein gutes Beispiel dafür, was die Strafverfolger erreichen können, wenn lokale und internationale Behörden, Firmen wie Microosft und Mitglieder der Antivirus-Gemeinschaft zusammenarbeiten. Auch Brad Smith, Anwalt und Senior Vice President bei Microsoft, hob die gelungene Zusammenarbeit der Behörden und des Internet Crime Investigations Teams von Microsoft hervor. "Die Ergebnisse zeigen, dass Cyberkriminelle identifiziert, festgenommen und für ihre Handlungen zur Verantwortung gezogen werden", meinte Smith.

Zotob, Mytob und die diversen Wurmvarianten nutzten eine Lücke in der Plug&Play-Schnittstelle unter Windows aus, um Rechner mit Windows 2000 zu infizieren. Teilweise lieferten sich Entwicklergruppen einen regelrechten Krieg mit verschiedenen Wurmvarianten. In den USA sorgte vor allem Zotob für einigen Wirbel, da mehrere große Firmen und Medienunternehmen davon betroffen waren. Hierzulande hielt sich der Befall von Systemen sehr in Grenzen.

Quelle : www.heise.de

[SiLæncer]

Der 18-jährige, in Russland geborene Marokkaner Farid Essebar ist der Programmierer der Zotob-Würmer, die die vor kurzem gepatchte Plug-and-Play-Lücke im Internet Explorer zum Kapern des Systems ausnutzen. Laut eines Journal-Eintrags im Washington Post-Blog verkaufte der als "Diabl0" im Internet auftretende Marokkaner die Würmer an den 21 Jahre alten Türken Atilla Ekici, der seinerseits unter dem Pseudonym "Coder" agiert. Sie gingen jüngst den lokalen Strafverfolgungsbehörden der jeweiligen Länder ins Netz.

In seinem Weblog berichtet das Unternehmen F-Secure, dass Diabl0 als Mitglied des "0x90-Teams" -- dem Coder ebenfalls angehört -- außer für Zotob auch für diverse Mytob-Varianten seit Februar dieses Jahres verantwortlich zeichnet. Er hat mit diesen Würmern mehrere Botnetze aufgebaut. Da einige Mytob-Botnetze jedoch von nicht mit dem Marokkaner verbundenen Gruppen wie beispielsweise "Blackcarder" kontrolliert werden, glauben die Finnen, dass der zugehörige Quellcode im Netz verfügbar ist.

Die marokkanischen Strafverfolgungsbehörden gehen davon aus, dass die beiden im Zusammenhang mit einem Kreditkarten-Betrug-Ring stehen. Es verdichten sich aber auch Hinweise, dass die mit Zotob und Mytob infizierten Rechner mit einer Toolbar "verseucht" wurden, die Werbung einblendet -- für die ebenfalls Geld auf die Konten der beiden jungen Kriminellen floss. Dieses "Software-Update" war möglich, da die Würmer auf den Zombie-PCs eine Verbindung in einen IRC-Kanal herstellen, in dem sie auf Anweisungen ihres Masters warten und diese ausführen.

Gerade bei den Zotob-Würmern stimmt dies nachdenklich. Sie befielen ausschließlich ungepatchte Windows-2000-Systeme vorrangig in US-amerikanischen Firmennetzen, da bei Privatanwendern inzwischen größtenteils Windows XP zum Einsatz kommt. Firmennetze sollten aber per Firewall abgehende IRC-Verbindungen blockieren, was offensichtlich nicht stattfand.

Dies ist ein weiterer Fall, bei dem sich die Beobachtung bestätigt, dass inzwischen weniger der Schaden oder das Zurschaustellen der eigenen "coding skillz" als der finanzielle Gewinn den Antrieb der Viren- und Würmer-Schreiber darstellt.

Quelle : www.heise.de

[SiLæncer]

Die türkischen Strafverfolgungsbehörden haben US-Medien zufolge 16 weitere Personen festgenommen, die im Verdacht stünden, Botnetzbetreiber zu sein. Die Botnetze sollen die Verdächtigen über Zotob- und Mytob-Varianten -- von denen schon mehr als 100 von den Antivirenunternehmen entdeckt wurden -- aufgebaut und damit Kreditkarten- und Identitäts-Informationen von infizierten Rechnern gestohlen haben.

Die Festnahmen am türkischen Nationalfeiertag "Zafer Bayrami" ("Tag des Sieges" über die griechische Invasion 1922) stehen laut den Berichten im Zusammenhang mit den mutmaßlichen Zotob-Autoren, die vergangene Woche verhaftet wurden. Das FBI glaubt, dass die 16 Verdächtigten von dem verhafteten Marokkaner "Diabl0" den Quellcode der Würmer erhielten und diesen leicht modifizierten, neu compilierten und die neuen Varianten dann in Umlauf brachten. Die türkischen Behörden wollten allerdings bislang noch keine näheren Informationen zu den neuen Verhaftungen mitteilen.

Quelle : www.heise.de