Entfernung von Bots

Allgemeines

Mit einem Bot infizierte Systeme sind zumeist Bestandteil eines IRC-gesteuerten Botnetzes. Die infizierten/kompromittierten Systeme (Bots) erhalten darüber Anweisungen und übermitteln z.B. protokollierte Passwörter oder ausgelesene Registrierungsschlüssel (z.B. Produkt-CD-Keys) an einen (bzw. mehrere) zentrale (IRC-)Server.

Automatisierte Entfernung von Bots

Aktuelle Botvarianten werden von Anti-Virensoftware zumeist nicht erkannt. Für eine etwaige Entfernung ist die automatische Systemwiederherstellung zu deaktivieren und das System im abgesicherten Modus zu starten (siehe auch Erste Hilfe bei Viren & Co des BSI).
Neben der üblichen Anti-Viren-Software können z.B. nachfolgende Werkzeuge (bzw. eine Kombination aus diesen Tools und Anti-Virensoftware) zur Entfernung von Bots nützlich sein:

• McAfee Stinger
• Microsoft Windows AntiSpyware
• Spybot – Search&Destroy
• TrojanHunter

sowie ggf. Online-Virenscanner wie z.B:

• Symantec Security Check
• TrendMicro HouseCall

und z.B. die folgenden Webseiten über die eine Analyse von einzelnen verdächtigen Dateien vorgenommen werden kann:

• Norman Sandbox
• Virustotal
• Online malware scan

Bitte Beachten Sie, dass bei einer automatisierten Entfernung von Bots zumeist nicht alle Spuren bzw. Systemveränderungen entfernt bzw. rückgängig gemacht werden.

Generelle Empfehlung nach einer Bot-Infektion

Da von einem Bot vorgenommene Systemänderungen nicht zuverlässig erkannt und rückgängig gemacht werden können, ist eine Neuinstallation des Systems dringend angeraten. Üblicherweise besitzen Bots einen Keylogger und eine Netzwerksniffer-Funktion. Deshalb muss davon ausgegangen werden, dass Authentifizierungsdaten ausgespäht wurden – dies hat zur Folge, dass ALLE Passwörter (ggf. auch auf anderen Systemen) geändert werden sollten.

Einfallstor schliessen

Primäres Einfallstor von Bots (wie rbot, agobot) sind zumeist fehlende Microsoft-Sicherheitsupdates. Sollte nur der Bot entfernt werden, ohne die potentiellen Einfallstore zu schliessen, ist eine Reinfizierung binnen kurzer Zeit zu erwarten.

Typische Einfallstore sind:

• RPC-DCOM (RUS-CERT#1144 bzw. MS03-026/MS03-039) über TCP/135, TCP/445, TCP/1025
• LSASS (RUS-CERT#1191 bzw. MS04-011) über TCP/445
• Workstation Service (RUS-CERT#1163 bzw. MC03-049) über TCP/135, TCP/445
• WebDaV (RUS-CERT#1087) über TCP/80
• DameWare (VU#909678) über TCP/6129
• MyDoom-Backdoor (RUS-CERT#1177) über TCP/3127
• Bagle-Backdoor (RUS-CERT#1182) über TCP/2745
• IIS 5.x SSL PCT (RUS-CERT#1191 bzw. MS04-011) über TCP/443
• Accounts mit Trivialpasswörtern (Verbindung über TCP/139 bzw. TCP/445) (Auflistung der in r(x)bot beinhalteten Accounts/Passwörter)
• MSSQL-Server mit Trivialpasswort (z.B. “SA”-Account mit Leerpasswort, siehe Q321081) über TCP/1433

Manuelle Erkennung einer Bot-Infektion

Die meisten Bots sind im Taskmanager als Prozess (mit beliebigem) Namen zu sehen. Das Programm selbst wird hauptsächlich unter %windir%\system32 abgelegt. Üblicherweise wird der Bot nach einem Systemneustart über einen der folgenden Registry-Schlüssel gestartet:

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

Typische Systemänderungen eines Bots sind z.B:

• HKLM\Software\Microsoft\Ole\EnableDCOM="N"
  um DCOM zu deaktivieren (siehe KB825750)
• HKLM\System\CurrentControlSet\Control\Lsa\restrictanonymous="1"
  um Anonymous-Verbindungen zu unterbinden (siehe KB246261)
• Eintragungen in der %windir%\system32\drivers\etc\hosts-Datei,
  um den Zugriff auf Anti-Virensoftware-Updates zu unterbinden. Ferner werden ggf. Freigaben angelegt und/oder Standardfreigabe (IPC$, ADMIN$, C$, D$) entfernt.