49694

Feebs: Wurm mit Rootkit

20.01.2006 | 16:32 Uhr |

Eine Wurm-Familie verbreitet sich durch Einfügen von Anhängen in normale Mails.

Die Feebs-Familie zeichnet sich durch die bei Mail-Würmern eher selten anzutreffene Fähigkeit aus vom Benutzer verschickte normale Mails infizieren zu können. Feebs-Würmer setzen ferner Rootkit-Techniken ein um sich auf einem verseuchten PC zu verbergen. Sie breiten sich zudem auch über P2P-Netzwerke aus.

Diese Wurm-Familie startet außerdem einen Web-Server auf dem Port 80 (http) und enthält eine Backdoor-Komponente. Diese meldet sich über IRC und http bei ihrem Herrn und Meister, gestattet diesem so die Fernsteuerung befallener Computer. Feebs kopiert sich auch in Freigabe-Ordner von P2P-Netzen, die die Zeichenfolge "shar" im Namen tragen.

Die von Feebs zur Verbreitung genutzten Mails enthalten eine HTA-Datei, also eine spezielle HTML-Seite mit Script-Code, den der Internet Explorer ausführen kann. Diese wird beim Mail-Versand stets automatisch neu generiert, was der im Wurm enthaltene Web-Server übernimmt.

Wird diese HTA-Datei auf einem bis dahin sauberen PC ausgeführt, legt sie den Wurm in der Datei C:\command.exe auf der Festplatte ab. Dieser erzeugt dann eine weitere Datei auf C:, deren Name nur aus einem Buchstaben (a bis z) besteht. Das ist die DLL-Komponente von Feebs, die wiederum zwei neue Dateien anlegt. Im System32-Verzeichnis von Windows entstehen dabei die Dateien "ms[variabel].dll" und "ms[variabel].exe".

Die Feebs-Würmer setzen Rootkit-Techniken zu ihrer Tarnung ein. Die DLL-Komponente wird in alle laufenden Prozesse injiziert und kann diese somit manipulieren. Auf diese Weise kann Feebs auch die generierten HTA-Dateien in vom Benutzer verschickte Mails einfügen. Die Gefahr liegt hier also darin, dass der Wurm in regulären Mails von Bekannten enthalten sein kann.

Beschreibung der Feebs-Würmer von F-Secure , bei McAfee heißen sie " Kmax ".

0 Kommentare zu diesem Artikel
49694