23.01.2007, 16:16

Frank Ziemann

Botnet-Aufbau mittels Spam-Mails

Der so genannte "Sturm-Wurm" dient zum Aufbau neuer Botnets, die noch mehr Spam versenden sollen. Dies wird bei der Analyse der Schädlinge offenbar, die bei dieser Kampagne verwendet werden.

Seit Freitag, 19. Januar, haben sich mehrere Wellen Spam-artig verbreiteter Mails über die Mailboxen von Internet-Nutzern ergossen (wir berichteten). Die Mails enthalten keinen Text, jedoch ein Trojanisches Pferd im Anhang, das in etlichen verschiedenen Varianten eingesetzt wird. Die ganze Aktion dient dem Aufbau von Botnets.
Wie Amado Hidalgo von Symantec Security Response im Weblog der Sicherheitsforscher berichtet, installieren die ersten Schädlingsvarianten eine Art Rootkit, das den Datenverkehr der Malware tarnen soll. Die als "wincom32.sys" im System32-Verzeichnis abgelegte Treiberdatei ist selbst nicht getarnt und injiziert Programm-Code in laufende Windows-Prozesse.
Die Malware versucht über den UDP-Port 4000 Kontakt zu einer Art Peer-to-Peer-Netz aufzubauen, über das sie weitere Schädlinge herunter lädt und installiert. Das sind Dateien mit den Namen "game0.exe" bis "game5.exe". Dabei handelt es sich unter anderem um einen Mail-Proxy und einen Mail-Harvester. Ersterer leitet Spam-Mails weiter, letzterer sammelt neue Mail-Adressen auf dem verseuchten Rechner und schickt sie als JPG-Bild getarnt an einen Server.
Die verseuchten PCs bilden ein Netzwerk fremdgesteuerter Rechner ("Zombies"), ein Botnet. Dieses kann nun Spam verbreiten und als Download-Quelle für angehende Zombies dienen. In späteren Mail-Wellen haben die Versender neue Versionen des Rootkits eingesetzt, das nun auch mehr Tarnfunktionen mitbringt. Es versteckt seine Registry-Einträge sowie benutzte Netzwerk-Ports. Es verwendet nunmehr den UDP-Port 7871 statt 4000 zur Kommunikation.
Dieser Tarndienst kann mit dem Befehl "net stop wincom32" auf der Kommandozeile beendet werden, die versteckten Ports und Registry-Einträge werden dann wieder sichtbar. Die Eingabeaufforderung muss dazu allerdings mit Administratorrechten gestartet werden oder Sie benutzen den "runas"-Befehl auf der Kommandozeile.
Das auf diese Weise aufgebaute Botnet verbreitet so genannten Penny-Stock-Spam, also betrügerische Geldanlagetipps. Die fremdgesteuerten Rechner senden eine Stoßwelle von zum Teil mehr als tausend Mails in wenigen Minuten und halten danach wieder still. Sie geben den Staffelstab an den nächsten Zombie-Rechner weiter, der wiederum eine neue Spam-Welle ausstößt.
Diskutieren Sie mit anderen Lesern über dieses Thema:
Ersten Kommentar erstellen
Direkt zum PC-WELT-Forum
PC-WELT-Experten lösen Ihr PC-Problem
Immer informiert mit dem PC-WELT Newsletter
Best-of PC-WELT   PC-WELT Apps
PC-WELT Business-IT   PC-WELT Community
PC-WELT iPhone- und Android-App
PC-WELT iPhone- und Android-App

Gratis! Laden Sie sich die PC-WELT-App jetzt auf Ihr Smartphone oder Ihr Tablet und lesen Sie auch unterwegs aktuelle News, Tests & Ratgeber aus der PC- und Smartphone-Welt.

Facebook-Freunde empfehlen
3x PC-WELT testen!
Ja, ich teste 3x die PC-WELT mit DVD für nur 11,90 € (19,- Sfr). Den 4 GB USB-Stick erhalte ich gratis dazu.
PC-WELT 6/ 2012
PC-WELT 6 / 2012

Zurück
Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:
Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.
Ich bin damit einverstanden, dass die IDG Tech Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.
Aktuelle Forumsthemen
256009
Content Management by InterRed