Ein Wurm für das Wurmloch
Ein Wurm aus der Randex-Familie nutzt die kürzlich bekannt gewordene Sicherheitslücke im Server-Dienst von Windows.
Mit dem Security Bulletin MS06-040 hat Microsoft ein Sicherheits-Update bereit gestellt, das eine Anfälligkeit im Server-Dienst von Windows beseitigen soll. Nachdem bereits ein Trojanisches Pferd namens "Mocbot" diese Schwachstelle ausnutzt, berichtet der Antivirus-Hersteller Symantec über eine neue Variante eines Wurms, der sich über diese Sicherheitslücke ausbreitet.
Der Wurm wird von Symantec als "W32.Randex.GEL" bezeichnet und stellt eine weitere Variante der bereits länger bekannten Randex-Familie dar. Würmer dieses Typs beherrschen eine ganze Reihe von Methoden sich auszubreiten, darunter auch die Ausnutzung bekannter Sicherheitslücken. Bei McAfee wird er als "W32/Sdbot.worm!MS06-040" geführt.
Der Wurm Randex.GEL kann sich mit Hilfe der Instant Messenger von AOL, ICQ, MSN und Yahoo verbreiten. Ferner nutzt er Netzwerkfreigaben und Microsoft-SQL-Server sowie vier bekannte Sicherheitslücken in Windows, von denen bei dieser Wurm-Variante lediglich der Pufferüberlauf im Server-Dienst neu hinzu gekommen ist.
Der Schädling legt eine Kopie von sich als "javanet.exe" im System-Verzeichnis von Windows ab und trägt diese als neuen Dienst in die Registry ein:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
"MS Java for Windows XP & NT" = "javanet.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
"MS Java for Windows XP & NT" = "javanet.exe"
Außerdem manipuliert er einen weiteren Registry-Schlüssel, um bei jedem Start von Windows geladen zu werden:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windlogon
"Shell" = "Explorer.exe javanet.exe"
"Userinit" = "%System%Serinit.exe,javanet.exe"
"Shell" = "Explorer.exe javanet.exe"
"Userinit" = "%System%Serinit.exe,javanet.exe"
Der Wurm Randex.GEL öffnet eine Hintertür ins System, indem er auf dem TCP-Port Kontakt mit einem IRC-Server (Internet Relay Chat) aufnimmt. Er wartet auf Kommandos, die ihn zum Beispiel anweisen können Dateien herunter zu laden, laufende Prozesse zu stoppen, DoS-Angriffe (Denial of Service) zu starten oder Tastatureingaben zu protokollieren. Nicht zuletzt spioniert er auch noch Anmeldedaten für die Online-Bezahldienste E-Gold und Paypal aus.
