14.04.2010, 15:17

Frank Ziemann

Heloag-Analysen

Neues P2P-Botnet entdeckt

Eine an sich bereits bekannte Schädlingsfamilie hat sich offenbar zu einem Bot gemausert. Das noch im Aufbau befindliche Botnet hat noch nicht die Ausmaße erreicht, wie sie von Conficker oder Zeus bekannt sind.
Die Schädlingsfamilie Heloag wird von Antivirusfirmen bislang meist als Backdoor-Trojan angesehen. Das heißt, der Schädling öffnet eine Hintertür in das infizierte System, durch ein Angreifer den Rechner manipulieren kann. Eine jüngst von Arbor Networks veröffentlichte Analyse kommt jedoch zu dem Ergebnis, dass Heloag inzwischen Funktionen zum Aufbau eines Botnetzes enthält, das auch P2P-Kommunikation nutzen kann.
Arbor Networks ist auf Netzwerksicherheit spezialisiert und hat die Eigenschaften der neuesten Heloag-Variante näher untersucht. Die im Security Blog des Unternehmens veröffentlichte Analyse von Jose Nazario bescheinigt dem Schädling typische Bot-Fähigkeiten. Ist ein PC mit Heloag infiziert, nimmt der Schädling über den TCP-Port 8090 Kontakt zu einem Kommando-Server auf. Von diesem erhält er Anweisungen zum HTTP-Download weiterer Malware. Ältere Versionen benutzen den TCP-Port 1106.
Außerdem kommunizieren Heloag-infizierte Rechner auch untereinander (P2P, Peer to Peer). Nach eigenen Beobachtungen eines Sicherheitsforschers von Nevis Labs, der sich "Da'H4cker" nennt, nutzt Heloag dazu sowohl TCP (Ports 7105 - 7506) als auch UDP (Ports 9101 - 9301). Die Kommunikation erfolgt verschlüsselt und enthält stets genau 100 Bytes Nutzdaten. Dabei können nach Angaben von Neeraj "Da'H4cker" Thakar in kurzer Zeit mehrere MB zusammen kommen.
Die Analyse von Arbor Networks nennt hingegen lediglich die TCP-Ports 7000 bis 7010 als P2P-Kommunikationskanäle. Der Schädling installiert sich demnach mit Dateinamen wie csrse.exe, ThunderUpdate.exe oder conme.exe im Windows-Verzeichnis. Er trägt den Datei im Registry-Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ein, damit der Bot bei jedem Windows-Start automatisch geladen wird.
Jose Nazario von Arbor Networks berichtet außerdem, der Schädling lade Malware von zwei bestimmten Domains herunter. Die Größe des Botnetzes sei bislang nicht bekannt, man habe jedoch einige aktive Zombies (gekaperte Rechner) sowie mehrere Dutzend Kommando-Server im Internet beobachtet. Die Botnets von Schädlingen wie Conficker oder Zeus/Zbot werden dagegen auf bis zu mehreren Millionen Zombies geschätzt.
Diskutieren Sie mit anderen Lesern über dieses Thema:
Windows 8: Alle Informationen
Windows 8
Alle Details

Alle Informationen und Updates zum neuen Betriebssystem Windows 8 von Microsoft. mehr

- Anzeige -
PC-WELT Specials
174802
Content Management by InterRed