Vom Windows-Wurmloch zur Spam-Schleuder
Eine Analyse des Bots, der eine Sicherheitslücke in Windows ausnutzt, hat die Methode offenbart, wie er mit seinem Herrn und Meister kommuniziert.
Ein Trojanisches Pferd kann eine Schwachstelle im Server-Dienst von Windows nutzen, um sich weiter zu verbreiten (wir berichteten). Ein Sicherheitsforscher hat untersucht, wie der installierte Bot mit einem IRC-Server (IRC: Internet Relay Chat) kommuniziert, um neue Anweisungen einzuholen.
Von dem als "MocBot" bezeichneten Schädling sind zwei Versionen bekannt, die sich unter anderem im verwendeten Dateinamen unterscheiden. Beide installieren einen Dienst, der sich als Windows Echtheitsprüfung ausgibt. Es handelt sich im Grunde um Varianten eines schon länger bekannten IRC-Bots.
Joe Stewart von LURHQ hat in einem abgesicherten Netzwerk, in Analogie zur Sandbox als "Sandnet" bezeichnet, den Schädling installiert und seine Kommunikation mit dem Kontroll-Server belauscht. Dabei fand er heraus, dass der Datenverkehr mit einer einfachen Verschlüsselung geschützt wird und die Rechner der Opfer zu Spam-Schleudern umfunktioniert werden sollen.
Der Bot nimmt Kontakt zu einem IRC-Server in China auf. Dabei benutzt er eine Kombination aus Benutzername und Passwort, die er mit einem speziellen Algorithmus gebildet hat. Dadurch ist er für den Bot-Master von neugierigen Besuchern unterscheidbar. Stewart täuschte dem Schädling zunächst den echten IRC-Server vor, um die Anmeldedaten zu erhalten.
Anschliessend nahm er mit den ermittelten Daten Kontakt zum echten IRC-Server auf. Die XOR-verschlüsselte Kommunikation war leicht zu dekodieren und so konnte Stewart den Anweisung zum Betreten eines weiteren Channels (Chat-Raum) folgen. Er erhielt eine neue Instruktion - er sollte eine bestimmte Datei herunter laden und ausführen.
Bei dieser Datei handelt es sich um ein Trojanisches Pferd, einen Spam-Proxy namens "Trojan-Proxy.Win32.Ranky.fv". Durch diesen wird es zur Aufgabe eines Rechners Spam-Mails zu verteilen, die er von einem oder mehreren anderen Rechnern erhält.
Stewart ließ ihn eine zeitlang gewähren und fing diverse Spam-Mails auf, die von verschiedenen IP-Adressen herein kamen. Die Themen der Spam-Mails deckten das übliche Spektrum von Medikamentenversand über gefälschte Uhren und Potenzmittel bis Pornografie ab.
Da der ursprünglich eingeschleuste MocBot jederzeit weitere Malware herunter laden und installieren kann, ist dessen Entfernung allein noch kein Garant für einen porentief sauberen Rechner. Von Antivirus-Software noch unentdeckte Schädlinge können sich bereits eingenistet haben und wiederum weitere Malware nachladen. Es bleibt nur die Festplatte komplett zu überschreiben und das System neu aufzusetzen.
