187832

Die ersten Bots nutzen Windows Wurmloch

14.08.2006 | 10:12 Uhr |

Die kürzlich bekannt gewordene Sicherheitslücke im Server-Dienst von Windows wird zum Aufbau neuer Botnets ausgenutzt.

Was sich bereits kurz nach Veröffentlichung des Microsoft Security Bulletins MS06-040 andeutete , hat sich inzwischen bestätigt. Die ersten Schädlinge sind gesichtet worden, die diese Schwachstelle ausnutzen, wie das Internet Storm Center ( ISC ) am Sonntag berichtet hat.

Es handelt sich um modifizierte Versionen bekannter IRC-Bots aus der "MocBot"-Familie. Sie setzen bereits seit 2005 dieselben IP-Adressen und Kontroll-Server in China ein. Der Unterschied zwischen den neuen und alten Versionen besteht darin, dass der bislang verwendete Exploit MS05-039 durch den neueren MS06-040 ersetzt wurde. Die Verbreitung erfolgt auf unterschiedlichen Wegen, etwa über Instant Messenger oder getarnt als Bild (zum Beispiel als JPG-Datei).

Einmal eingeschleust, verwandeln sie den PC in einen Teil eines Botnets. Er dient dann als Spam-Schleuder oder für konzertierte Angriffe auf Web-Server. Ist ein Rechner mit einem solchen Bot verseucht, können die Bots auf Befehl ihrer Master beliebige weitere Malware installieren. Es bleibt nur eine komplette Neuinstallation, wenn Sie einigermaßen sicher sein wollen, dass Ihr PC wieder Ihnen allein gehört.

Die Schädlinge installieren sich, je nach Variante, mit den Dateinamen "wgareg.exe" oder "wgavm.exe" im System-Verzeichnis von Windows. Sie legen einen neuen Dienst an, der sich "Windows Genuine Advantage Registration Service" oder auch "Windows Genuine Advantage Validation Monitor" nennt. Dann scannen sie das lokale Netzwerk nach weiteren anfälligen Computern, um sie anzugreifen. Sie verursachen dabei auf dem Zielrechner einen Pufferüberlauf, wodurch übermittelte Anweisungen zum Laden und Ausführen des Schädlings aktiv werden.

Wie das Microsoft Sicherheits-Team in seinem Blog mitteilt, sind bisher nur Rechner mit Windows 2000 betroffen, auf denen das Sicherheits-Update MS06-040 nicht installiert ist. Die beiden entdeckten Bot-Varianten werden bei Microsoft "Win32/Graweg.A" und "Win32/Graweg.B" genannt. Die bereits am Freitag veröffentlichte Sicherheitsempfehlung 922437 ist am Sonntag überarbeitet worden, um neu gewonnenen Erkenntnissen Rechnung zu tragen.

Darin empfiehlt Microsoft die umgehende Installation der neuesten Sicherheits-Updates sowie die Sperrung der Ports 139 und 445 in den Firewalls. Die neu entdeckten Schädlinge sind bislang nicht sehr weit verbreitet, das kann sich jedoch in den nächsten Tagen schnell ändern. Es muss außerdem mit weiteren Schädlingen gerechnet werden, die diese Sicherheitslücke ausnutzen werden.

Erkennung durch Antivirus-Software :

Antivirus

Malware-Variante 1

Malware-Variante 2

AntiVir

Worm/IRCBot.9374

Worm/IRCBot.9609

Avast!

-/-

-/-

AVG

-/-

-/-

BitDefender

Backdoor.IRCBot.ST

Backdoor.IRCBot.ST

ClamAV

Trojan.IRCBot-690

Trojan.IRCBot-689

Command AV

W32/Threat-HLLIM-based!Maximus

W32/Threat-HLLIM-based!Maximus

Dr Web

Win32.HLLW.Nert

Win32.HLLW.Nert

eSafe

Win32.IRCBot.jk

Win32.IRCBot.jl

eTrust-INO

Win32/Cuebot.K!Worm

Win32/Cuebot.J!Worm

eTrust-VET

Win32/Cuebot.K

Win32/Cuebot.J

Ewido

Backdoor.IRCBot.st

-/-

F-Prot

W32/Threat-HLLIM-based!Maximus

W32/Threat-HLLIM-based!Maximus

F-Secure

Backdoor.Win32.IRCBot.st

Backdoor.Win32.IRCBot.st

Fortinet

W32/IRCBot.040!tr.bdr

W32/Cuebot.L!tr.bdr

Ikarus

-/-

-/-

Kaspersky

Backdoor.Win32.IRCBot.st

Backdoor.Win32.IRCBot.st

McAfee

IRC-Mocbot!MS06-040

IRC-Mocbot!MS06-040

Microsoft

Backdoor:Win32/Graweg.B

Backdoor:Win32/Graweg.A

Nod32

Win32/IRCBot.OO

Win32/IRCBot.OO trojan

Norman

W32/Suspicious_M.gen

W32/Suspicious_M.gen

Panda

Suspicious (W32/Oscarbot.KD.worm)*

Suspicious (W32/Oscarbot.KD.worm)*

QuickHeal

Wargbot.a

Wargbot.b

Sophos

W32/Cuebot-M

W32/Cuebot-L

Symantec

W32.Wargbot

W32.Wargbot

Trend Micro

WORM_IRCBOT.JK

WORM_IRCBOT.JL

UNA

-/-

-/-

VBA32

-/-

-/-

VirusBuster

Backdoor.IRCBot.AAG

Backdoor.IRCBot.AAH

WebWasher

Worm.IRCBot.9374

Worm.IRCBot.9609

GData AVK **

Backdoor.Win32.IRCBot.st

Backdoor.Win32.IRCBot.st

Quelle: AV-Test , Stand: 14.08.2006, 3 Uhr

* noch nicht in den offiziellen Updates enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Bitdefender

0 Kommentare zu diesem Artikel
187832