25300

Mailbot mit doppelter Tarnung

23.06.2006 | 08:55 Uhr |

Ein Trojanisches Pferd installiert sich als Rootkit und versteckt sich zudem in NTFS-Datenströmen.

Das Windows-Dateisystem NTFS, mit dem Windows NT, 2000 und XP standardmäßig arbeiten, enthält ein paar wenig bekannte Möglichkeiten zum Verstecken von Daten und Programmen vor dem Anwender. Dazu zählen die Alternate Data Streams (ADS) - zusätzliche Datenströme, die einer Datei oder auch einem Verzeichnis zugeordnet sein können. Die Virenforscher von F-Secure berichten über ein Trojanisches Pferd, das nicht nur ein Rootkit installiert sondern sich auch in ADS versteckt.

Bei "SpamTool.Win32.Mailbot.az" handelt es sich um einen Schädling, der massenhaft Werbe-Mails versenden soll. Er wird durch eine separate Komponente, einen so genannten Dropper, eingeschleust und installiert. Dieser kopiert den Rootkit-Treiber als "pe386.sys" in das Temp-Verzeichnis und löscht sich danach selbst.

Wird der Rootkit-Treiber gestartet, kopiert er sich in einen ADS des System32-Verzeichnisses, genauer in "C:\Windows\System32:18467". Ist Windows auf einer FAT32-Partition installiert, schreibt er sich als "C:\Windows\System32\Drivers\pe386.sys" auf die Festplatte. Zum automatischen Start legt er einen Registry-Eintrag an:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386
DisplayName = Win23 PE files loader
ImagePath = \SystemRoot\System32:18467
oder
ImagePath = \SystemRoot\System32\Drivers\pe386.sys

Dadurch wird der Treiber recht früh beim Systemstart geladen und dies auch im Abgesicherten Modus. Er erkennt die Ausführung der Anti-Rootkit-Programme F-Secure Blacklight, Rootkitrevealer sowie Rkdetector und ändert dann sein Verhalten. Außerdem lädt er eine Komponente in den Arbeitsspeicher, die im Kontext von "services.exe" ausgeführt wird. Dabei handelt es sich um den eigentlichen Schädling, der Spam verschickt und eine Hintertür zur Steuerung des befallenen Rechners öffnet.

Um den Rootkit-Treiber zu entfernen empfiehlt F-Secure einen Neustart von der Windows-CD und den Aufruf der Wiederherstellungskonsole. Dadurch wird der Rootkit-Treiber nicht geladen und kann entfernt werden. Dazu kopieren Sie auf der Kommandozeile eine beliebige Textdatei (keine ausführbare Datei) in den Datenstrom, in dem sich der Treiber versteckt. Geben Sie also zum Beispiel ein:

copy c:\windows\win.ini c:\windows\system32:18467

Der Kopiervorgang wird zwar als fehlgeschlagen gemeldet, die schädliche Datei wird jedoch auf eine Länge von null Bytes beschnitten und ist damit unschädlich gemacht.

Erkennung durch Antivirus-Software:

Antivirus

Rootkit

Dropper

AntiVir

TR/Drop.Small.ape.1

TR/Drop.Small.ape

Avast!

Win32:Mailbot-O

Win32:Small-YJ

AVG

SpamTool.EF

Dropper.Generic.FIP

BitDefender

Virtool.Spamtool.Mailbot.F

Virtool.Spamtool.Mailbot.F

ClamAV

./.

./.

Command AV

./.

./.

Dr Web

Trojan.Spambot

Trojan.Spambot

eSafe

Trojan/Worm [100]

Trojan/Worm [100]

eTrust-INO

./.

./.

eTrust-VET

./.

./.

Ewido

Not-A-Virus.SpamTool.Win32.Mailbot.az

Dropper.Small.ape

F-Prot

./.

./.

F-Secure

SpamTool.Win32.Mailbot.az

Trojan-Dropper.Win32.Small.ape

Fortinet

W32/Mailbot.AZ!tr

W32/Mailbot.AZ!tr

Ikarus

./.

Trojan-Dropper.Win32.Small.ape

Kaspersky

SpamTool.Win32.Mailbot.az

Trojan-Dropper.Win32.Small.ape

McAfee

./.

./.

Microsoft

VirTool:Win32/Rustock.A

Backdoor:Win32/Rustock.A

Nod32

./.

Win32/SpamTool.Mailbot

Norman

W32/SpamTool.AE

W32/Smalldrp.JGM

Panda

./.

Trj/Mailbot.AB

Quickheal

./.

Suspicious

Sophos

Troj/Mailbot-AH

Troj/Mailbot-AH

Symantec

Backdoor.Rustock.A

Backdoor.Rustock.A

Trend Micro

BKDR_RUSTOCK.A

BKDR_RUSTOCK.A

VBA32

SpamTool.Win32.Mailbot.az

Trojan-Dropper.Win32.Small.ape

Virusbuster

SpamTool.Mailbot.Q

SpamTool.Mailbot.Q


Quelle: AV-Test , Stand: 22.06.06

0 Kommentare zu diesem Artikel
25300