96498

Ein Wurm für das Wurmloch

24.08.2006 | 09:06 Uhr |

Ein Wurm aus der Randex-Familie nutzt die kürzlich bekannt gewordene Sicherheitslücke im Server-Dienst von Windows.

Mit dem Security Bulletin MS06-040 hat Microsoft ein Sicherheits-Update bereit gestellt, das eine Anfälligkeit im Server-Dienst von Windows beseitigen soll. Nachdem bereits ein Trojanisches Pferd namens " Mocbot " diese Schwachstelle ausnutzt, berichtet der Antivirus-Hersteller Symantec über eine neue Variante eines Wurms, der sich über diese Sicherheitslücke ausbreitet.

Der Wurm wird von Symantec als " W32.Randex.GEL " bezeichnet und stellt eine weitere Variante der bereits länger bekannten Randex-Familie dar. Würmer dieses Typs beherrschen eine ganze Reihe von Methoden sich auszubreiten, darunter auch die Ausnutzung bekannter Sicherheitslücken. Bei McAfee wird er als " W32/Sdbot.worm!MS06-040 " geführt.

Der Wurm Randex.GEL kann sich mit Hilfe der Instant Messenger von AOL, ICQ, MSN und Yahoo verbreiten. Ferner nutzt er Netzwerkfreigaben und Microsoft-SQL-Server sowie vier bekannte Sicherheitslücken in Windows, von denen bei dieser Wurm-Variante lediglich der Pufferüberlauf im Server-Dienst neu hinzu gekommen ist.

Der Schädling legt eine Kopie von sich als "javanet.exe" im System-Verzeichnis von Windows ab und trägt diese als neuen Dienst in die Registry ein:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
"MS Java for Windows XP & NT" = "javanet.exe"

Außerdem manipuliert er einen weiteren Registry-Schlüssel, um bei jedem Start von Windows geladen zu werden:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windlogon
"Shell" = "Explorer.exe javanet.exe"
"Userinit" = "%System%Serinit.exe,javanet.exe"

Der Wurm Randex.GEL öffnet eine Hintertür ins System, indem er auf dem TCP-Port Kontakt mit einem IRC-Server (Internet Relay Chat) aufnimmt. Er wartet auf Kommandos, die ihn zum Beispiel anweisen können Dateien herunter zu laden, laufende Prozesse zu stoppen, DoS-Angriffe (Denial of Service) zu starten oder Tastatureingaben zu protokollieren. Nicht zuletzt spioniert er auch noch Anmeldedaten für die Online-Bezahldienste E-Gold und Paypal aus.

0 Kommentare zu diesem Artikel
96498