Botnet-Aufbau mittels Spam-Mails

Dienstag, 23.01.2007 | 16:16 von Frank Ziemann
Der so genannte "Sturm-Wurm" dient zum Aufbau neuer Botnets, die noch mehr Spam versenden sollen. Dies wird bei der Analyse der Schädlinge offenbar, die bei dieser Kampagne verwendet werden.

Seit Freitag, 19. Januar, haben sich mehrere Wellen Spam-artig verbreiteter Mails über die Mailboxen von Internet-Nutzern ergossen ( wir berichteten ). Die Mails enthalten keinen Text, jedoch ein Trojanisches Pferd im Anhang, das in etlichen verschiedenen Varianten eingesetzt wird. Die ganze Aktion dient dem Aufbau von Botnets.

Wie Amado Hidalgo von Symantec Security Response im Weblog der Sicherheitsforscher berichtet, installieren die ersten Schädlingsvarianten eine Art Rootkit, das den Datenverkehr der Malware tarnen soll. Die als "wincom32.sys" im System32-Verzeichnis abgelegte Treiberdatei ist selbst nicht getarnt und injiziert Programm-Code in laufende Windows-Prozesse.

Die Malware versucht über den UDP-Port 4000 Kontakt zu einer Art Peer-to-Peer-Netz aufzubauen, über das sie weitere Schädlinge herunter lädt und installiert. Das sind Dateien mit den Namen "game0.exe" bis "game5.exe". Dabei handelt es sich unter anderem um einen Mail-Proxy und einen Mail-Harvester. Ersterer leitet Spam-Mails weiter, letzterer sammelt neue Mail-Adressen auf dem verseuchten Rechner und schickt sie als JPG-Bild getarnt an einen Server.

Die verseuchten PCs bilden ein Netzwerk fremdgesteuerter Rechner ("Zombies"), ein Botnet. Dieses kann nun Spam verbreiten und als Download-Quelle für angehende Zombies dienen. In späteren Mail-Wellen haben die Versender neue Versionen des Rootkits eingesetzt, das nun auch mehr Tarnfunktionen mitbringt. Es versteckt seine Registry-Einträge sowie benutzte Netzwerk-Ports. Es verwendet nunmehr den UDP-Port 7871 statt 4000 zur Kommunikation.

Dieser Tarndienst kann mit dem Befehl "net stop wincom32" auf der Kommandozeile beendet werden, die versteckten Ports und Registry-Einträge werden dann wieder sichtbar. Die Eingabeaufforderung muss dazu allerdings mit Administratorrechten gestartet werden oder Sie benutzen den "runas"-Befehl auf der Kommandozeile.

Das auf diese Weise aufgebaute Botnet verbreitet so genannten Penny-Stock-Spam, also betrügerische Geldanlagetipps. Die fremdgesteuerten Rechner senden eine Stoßwelle von zum Teil mehr als tausend Mails in wenigen Minuten und halten danach wieder still. Sie geben den Staffelstab an den nächsten Zombie-Rechner weiter, der wiederum eine neue Spam-Welle ausstößt.

Dienstag, 23.01.2007 | 16:16 von Frank Ziemann
Kommentieren Kommentare zu diesem Artikel (0)
256009