Suche   Â
Hartnäckiger Internet-Wurm baut über mehrere Verbreitungswege neue Botnets auf
ID: 70390
Das russische Security-Unternehmen Doctor Web warnt vor dem Wurm Win32.HLLW.Shadow.based, der sich aktuell über das Internet verbreitet. Er benutzt gleich mehrere Möglichkeiten in ein System einzudringen und ist zudem schwer zu analysieren, da er über polymorphe Packer verbreitet wird. Der Wurm nutzt Schwachstellen aller Windows-Versionen von Windows 2000 bis Windows 7 aus.
(firmenpresse) - Mission des Win32.HLLW.Shadow.based
Das schädliche Programm wurde entwickelt, um neue Botnets aufzubauen. Wenn der Wurm aktiv ist, versucht er ausführbare Dateien von bestimmten Servern herunterzuladen. Danach installiert und startet er sie auf den Ziel¬rechnern. Entweder arbeiten Cyber-Kriminelle selbst mit dem Botnet, um Gewinne zu erwirtschaften oder sie planen es zu verkaufen. Augenblicklich stehen Botnets in diesen Kreisen recht hoch im Kurs.
Drei unterschiedliche Verbreitungswege des Internet-Wurms
Win32.HLLW.Shadow.based verbreitet sich über Wechseldatenträger oder Netzwerk-Laufwerke und nutzt dabei die Autorun-Funktion von Windows aus. Die maligne Datei ist mit einem Zufallsnamen versehen und wird in einem Ordner abgelegt, der sich wie folgt zusammensetzt: RECYCLERS-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx . Über quasi den Windows-Papierkorb getarnt, bleibt die Malware häufig unbemerkt.
Der Wurm kann sich alternativ über das Windows SMB-Protokoll verbreiten und versucht dann auf Grundlage eines Wörterbuchs und der gängigsten Pass¬wörter, einen Remote-Zugriff auf den Zielrechner zu bekommen. Gelingt es ihm, das Passwort zu knacken, kopiert sich das schädliche Programm in das System-Verzeichnis des angegriffenen Computers und erstellt dort eine Anwendung, die zu einem bestimmten Zeitpunkt ausgeführt werden soll.
Zudem kann der Wurm Sicherheitslücken ausnutzen, die bereits im Microsoft Security Bulletin MS08-067 beschrieben wurden. Ein Zielcomputer erhält eine bestimmte Anfrage, die einen Buffer Overflow bewirkt. Danach lädt der an¬gegriffene Rechner eine maligne Datei über HTTP.
Vielfältige Verhaltensweisen des Wurms nach dem Start
Beim Start prüft Win32.HLLW.Shadow.based, unter welchen Prozessen er augenblicklich läuft. Basiert dieser auf rundll32.exe, wird er seinen Code in svchost.exe und explorer.exe injizieren. Danach öffnet der Wurm einen Ordner im Explorer und stellt seine Arbeit ein.
In einem anderen Fall repliziert er sich selbst unter einem Namen, der per Zufallsgenerator erstellt wurde, und registriert eine Kopie seiner selbst als Windows-Dienst. Er fügt sie anschließend in das Autostart-Verzeichnis ein, um nach einem weiteren Hochfahren von Windows erneut gestartet zu werden. Zudem stoppt der Wurm den Windows Update-Service und installiert einen eigenen HTTP-Server, um sich über das Netzwerk zu verbreiten.
Stellt der Wurm fest, dass er svchost.exe benutzt, injiziert er seinen Code in DNS-Routinen, um den Zugang zu Webseiten der meisten Anti-Viren-Hersteller zu blockieren.
Win32.HLLW.Shadow.based verfügt über einen Treiber, der Veränderungen der tcpip.sys-Datei im Speicher ermöglicht, um so die Zahl simultaner Netzwerkver¬bindungen zu erhöhen.
Desinfektions-Möglichkeiten
Win32.HLLW.Shadow.based lässt Windows sowohl Datei-Attribute neu setzen als auch Registry-Einträge schreiben, die mit Standard-Tools nicht mehr lesbar sind. Dr.Web Scanner für Windows kann hier Abhilfe leisten. Der Scanner bietet mit dem 'Dr.Web Shield' Anti-Rootkit-Treiber einen Scanner, der vollen Zugriff auf Dateien und Registry-Einträge besitzt, die derartig geschützt werden.
Neben der Standard-Anwendung für den permanenten Schutz können mit der neusten Version des kostenlos erhältlichen Dr.Web CureIt! ( ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe ) alle Festplatten gescannt und das gesamte System desinfiziert werden.
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Dr.Web, einer der führenden Entwickler von Antivirus- und Antispam-Lösungen, begann bereits 1992 mit der Entwicklung und der Vermarktung der ersten Antivirus-Lösungen. Das internationale Headquarter des Unter¬neh¬mens, die Doctor Web Ltd., befindet sich heute in Moskau und ist einer der wenigen Anbieter der seine ei¬gene Technologie zu 100 Prozent In-Haus entwickelt hat und ebenfalls noch im vollständigen Besitz dieser ist. Derzeit beschäftigt das Unternehmen mehr als 120 Mitarbeiter, davon 75 im Bereich Research & Development.
Mit mehr als 15-jähriger Erfahrung gehört der Hersteller von Security-Lösungen zu den Pionieren in diesem Be¬reich und wurde für seine Lösungen bereits vielfach ausgezeichnet. Dr.Web legt großen Wert auf die effektive Lösung von Kundenproblemen und schnelle Reaktionen auf aktuelle Virengefahren. Die umfangreiche Produkt¬palette umfasst Lösungen zur Absicherung von einzelnen Arbeitsplätzen bis hin zu komplexen Netzwerken und wird im deutschsprachigen Raum über die Dr. Web Deutschland GmbH in Hanau vertrieben.
Zu den nationalen und internationalen Kunden zählen neben privaten Anwendern namhafte börsennotierte Un¬ternehmen sowie Bildungseinrichtungen und öffentliche Auftraggeber.
Dr. Web (Antivirus) Deutschland GmbH
Rodenbacher Chaussee 6
D-63457 Hanau
Tel. 06181-906 012 10
Fax 06181-906 012 12
eMail: info(at)drweb-av.de
Deutsche Site: www.drweb-av.de
Internationale Site: www.drweb.com
Prolog Communications Gmb
Kellerstr. 14
D-81667 München
eMail: drweb(at)prolog.biz
  
  
  
Datum: 21.01.2009 - 10:23 Uhr
Sprache: Deutsch
News-ID 70390
Anzahl Zeichen: 0
Kontakt-Informationen:
Kategorie:
New Media & Software
Meldungsart: Produktinformation
Versandart: Veröffentlichung
Freigabedatum: 21.01.2009
Diese Pressemitteilung wurde bisher 180 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Hartnäckiger Internet-Wurm baut über mehrere Verbreitungswege neue Botnets auf "
steht unter der journalistisch-redaktionellen Verantwortung von
Doctor Web (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).