59118

Ein Bot geht andere Wege

03.05.2006 | 08:37 Uhr |

Anders als die üblichen Bots wird Nugache über P2P-Netze kontrolliert.

Die Steuerung eines Botnets erfolgt meistens über einen IRC-Server (Internet Relay Chat). Nun steht anscheinend eine neue Generation der Bots vor der Tür, die über dezentrale Strukturen kontrolliert werden. Das Internet Storm Center berichtet über einen neuen Schädling namens "Nugache", der seinen Weg zu potenziellen Opfern unter anderem über den AOL Instant Messenger (AIM) findet.

Nugache kann eine allem Anschein nach verschlüsselte Kommunikation mit seinem Herrn Meister über P2P-artige Wege aufrecht erhalten. Während ein Botnet, das über einen IRC-Server kontrolliert wird, nutzlos ist, sobald der betreffende IRC-Server dicht gemacht wird, bleibt ein P2P-gesteuertes Netzwerk aktiv, auch wenn einzelne Knoten ausfallen. Eine verschlüsselte Kommunikation erschwert obendrein die Erkennung und Analyse verdächtigen Datenverkehrs durch Netzwerksensoren. Die von Nugache verwendeteten Techniken sind weder neu noch sonderlich originell, könnten jedoch ein Zeichen dafür sein, dass die Botnet-Betreiber ihre Taktik ändern.

Nugache kann sich sowohl per Mail oder Instant Messenger als auch über Netzwerkfreigaben verbreiten. Auf verseuchten Rechnern befindet sich der Schädling in einer Datei namens "mstc.exe" im System32-Verzeishnis von Windows. Nugache hält den TCP-Port 8 offen und lauscht auf herein kommende Verbindungen. Die Firewall von Windows XP wird durch eine direkte Manipulation der Registry ruhig gestellt, indem Nugache sich eine Ausnahmeregel erstellt.

Die von Nugache verschickten Mails tragen einen Betreff wie "hey there", "iight", "k, here" oder "whats up" und enthalten einen Anhang mit dem Namen "attachment", "backup", "details", "documents" oder "forwarded", kombiniert mit der Endung "SCR" oder "SCP.SCQ.SCR". Zur Verbreitung im Netzwerk nutzt Nugache die Sicherheitslücken MS04-007 (ASN.1-Anfälligkeit) und MS04-011 (LSASS-Pufferüberlauf) aus.

Es wurden bislang mindesten vier verschiedene Varianten dieses Schädlings entdeckt. Mutmaßlich unterscheiden sie sich unter anderem in den enthaltenen IP-Adressen weiterer P2P-Knoten, zu denen sie Kontakt aufnehmen. Sie teilen sich diese IP-Adressen vermutlich auch gegenseitig mit.

Die Erkennung der bekannten Varianten durch Antivirus-Software hat seit Sonntag gute Fortschritte gemacht, der Name "Nugache" hat sich bislang allerdings nur teilweise durchsetzen können:

Antivirus

Nugache 1

Nugache 2

AntiVir

Worm/Nugache.1

Worm/Nugache.2

Avast!

-/-

-/-

AVG

IRC/BackDoor.Nugache.A

IRC/BackDoor.Nugache.A

BitDefender

Backdoor.SDBot.BCE

Backdoor.SDBot.BCE

ClamAV

-/-

-/-

Command AV

W32/Nugache.A

W32/Nugache.A

Dr Web

BackDoor.IRC.Sdbot.579

BackDoor.IRC.Sdbot.579

eSafe

Trojan/Worm [100]

Trojan/Worm [100]

eTrust-INO

Win32/SDbot.8er!Worm

Win32/Opanki.177152!Worm

eTrust-VET

Win32/Nugache.A

Win32/Nugache.A

Ewido

Backdoor.SdBot.apt

Backdoor.SdBot.apt

F-Prot

W32/Nugache.A

W32/Nugache.A

F-Secure

Email-Worm.Win32.Nugache.a

Email-Worm.Win32.Nugache.a

Fortinet

W32/Nugache.A@mm

W32/Nugache.A@mm

Ikarus

Backdoor.Win32.SdBot.aqy

-/-

Kaspersky

Email-Worm.Win32.Nugache.a

Email-Worm.Win32.Nugache.a

McAfee

W32/Nugache@MM

W32/Nugache@MM

Microsoft

Worm:Win32/Nugache.A

Worm:Win32/Nugache.A

Nod32

Win32/IRCBot.RV

Win32/IRCBot.RV

Norman

W32/Nugache.A@mm

W32/Nugache.A@mm

Panda

W32/Oscarbot.HG.worm

W32/Nugache.A.worm

Quickheal

Backdoor.Nugache

Backdoor.Nugache

Sophos

W32/Rbot-DDI

W32/Rbot-DDI

Symantec

W32.Nugache.A@mm

W32.Nugache.A@mm

Trend Micro

WORM_NUGACHE.A

WORM_NUGACHE.A

VBA32

Backdoor.Win32.SdBot.aqy

Email-Worm.Win32.Nugache.a

Virusbuster

-/-

-/-

Antivirus

Nugache 3

Nugache 4

AntiVir

Worm/Nugache.3

Worm/Nugache.4

Avast!

-/-

-/-

AVG

IRC/BackDoor.Nugache.A

IRC/BackDoor.SdBot2.ACD

BitDefender

Backdoor.SDBot.BCE

Backdoor.SDBot.BCE

ClamAV

-/-

-/-

Command AV

W32/Nugache.A

W32/Nugache.A

Dr Web

BackDoor.IRC.Sdbot.579

BackDoor.IRC.Sdbot.579

eSafe

Trojan/Worm [100]

Trojan/Worm [100]

eTrust-INO

Win32/Opanki.177152!Worm

Win32/Rbot.EXX!Worm

eTrust-VET

Win32/Nugache.A

Win32/Nugache.A

Ewido

Backdoor.SdBot.apt

Backdoor.SdBot.apt

F-Prot

W32/Nugache.A

W32/Nugache.A

F-Secure

Email-Worm.Win32.Nugache.a

Email-Worm.Win32.Nugache.a

Fortinet

W32/Nugache.A@mm

W32/Nugache.A@mm

Ikarus

-/-

Backdoor.Win32.SdBot.apt

Kaspersky

Email-Worm.Win32.Nugache.a

Email-Worm.Win32.Nugache.a

McAfee

W32/Nugache@MM

W32/Nugache@MM

Microsoft

Worm:Win32/Nugache.A

Worm:Win32/Nugache.A

Nod32

Win32/IRCBot.RV

Win32/IRCBot.RV

Norman

W32/Nugache.A@mm

W32/Nugache.A@mm

Panda

W32/Nugache.A.worm

W32/Nugache.A.worm

Quickheal

Backdoor.Nugache

Backdoor.Nugache

Sophos

W32/Rbot-DDI

W32/Rbot-DDI

Symantec

W32.Nugache.A@mm

W32.Nugache.A@mm

Trend Micro

WORM_NUGACHE.A

WORM_NUGACHE.A

VBA32

Email-Worm.Win32.Nugache.a

Backdoor.Win32.SdBot.apt

Virusbuster

-/-

-/-

Quelle: AV-Test aktualisierter Stand: 03.05.06, 14:00 Uhr

0 Kommentare zu diesem Artikel
59118