860574

Wurm macht PC zum DHCP-Server, installiert Bootkit

09.06.2011 | 16:21 Uhr |

Die jüngste Variante des Bootkits TDSS, genannt TDL4, wird von einem Wurm verbreitet, der einen infizierten PC in einen DHCP-Server verwandelt. Dieser konkurriert im Netzwerk mit dem vorhandenen DHCP-Server und leitet die anderen Rechner auf einen Server im Internet, der den Wurm verteilt.

Das Rootkit TDSS wird nach einer erfolgreichen Infektion des Rechners bereits aktiv, bevor Windows geladen wird und kann so kontrollieren, welche Treiber geladen werden. Derartige Rootkits werden als "Bootkits" bezeichnet. TDL4, der jüngste Spross aus der Bootkit-Familie TDSS oder auch Alureon kann sich auch auf 64-bittigen Windows-Versionen einnisten . Neuerdings verbreitet es sich auch mit Hilfe eines Wurms.

Roland Dela Paz berichtet im Trend Micro Malware Blog über einen Wurm namens "WORM_OTORUN.ASH", der das TDL4-Bootkit verbreitet, um das Botnetz der TDSS-Bande auszubauen. Der neueste Trick dieser Malware besteht darin den infizierten PC in einen DHCP-Server zu verwandeln. In einem Heimnetzwerk kommt die Aufgabe, den Rechnern in einem lokalen Netzwerk IP-Adressen zuzuweisen und DNS-Anfragen weiter zu leiten, normalerweise dem DSL-Router zu.

Der mit TDL4 verseuchte PC startet ebenfalls einen DHCP-Dienst und tritt in Konkurrenz zum Router. In Gegensatz zu diesem leitet er DNS-Anfragen an einen Server im Internet, der unter der Kontrolle der Online-Kriminellen steht. Dieser täuscht den Benutzern der Rechner ein Browser-Update vor, liefert stattdessen jedoch Malware aus. So werden auch die Rechner mit dem Bootkit infiziert, bei denen dies nicht über Netzwerkfreigaben gelingt.

Ob der Wurm von den gleichen Leuten geschrieben wurde, die auch hinter TDSS stecken, kann Roland Dela Paz nicht sicher ausmachen. Er hält die Kombination der beiden Schädlinge jedenfalls für keine so clevere Idee. Denn während sich TDL4 sehr unauffällig verhält und kaum aufzuspüren ist, kann der Wurm seine Existenz kaum verbergen. Schöpft ein PC-Benutzer erstmal Verdacht, könnte auch die Infektion mit dem Bootkit auffliegen.

0 Kommentare zu diesem Artikel
860574