Computer Emergency Response Team - Zuständig für die Rechner- und Netzwerksicherheit an der Universität Stuttgart

Entfernung von Bots

Allgemeines

Mit einem Bot infizierte Systeme sind zumeist Bestandteil eines IRC-gesteuerten Botnetzes (siehe z.B: http://cert.uni-stuttgart.de/doc/netsec/bots.php). Die infizierten/kompromittierten Systeme (Bots) erhalten darüber Anweisungen und übermitteln z.B. protokollierte Passwörter oder ausgelesene Registrierungsschlüssel (z.B. Produkt-CD-Keys) an einen (bzw. mehrere) zentrale (IRC-)Server.

Automatisierte Entfernung von Bots

Aktuelle Botvarianten werden von Anti-Virensoftware zumeist nicht erkannt. Für eine etwaige Entfernung ist die automatische Systemwiederherstellung zu deaktivieren und das System im abgesicherten Modus zu starten (siehe auch Erste Hilfe bei Viren & Co des BSI).
Neben der üblichen Anti-Viren-Software können z.B. nachfolgende Werkzeuge (bzw. eine Kombination aus diesen Tools und Anti-Virensoftware) zur Entfernung von Bots nützlich sein:

sowie ggf. Online-Virenscanner wie z.B:

und z.B. die folgenden Webseiten über die eine Analyse von einzelnen verdächtigen Dateien vorgenommen werden kann:

Bitte Beachten Sie, dass bei einer automatisierten Entfernung von Bots zumeist nicht alle Spuren bzw. Systemveränderungen entfernt bzw. rückgängig gemacht werden.

Generelle Empfehlung nach einer Bot-Infektion

Da von einem Bot vorgenommene Systemänderungen nicht zuverlässig erkannt und rückgängig gemacht werden können, ist eine Neuinstallation des Systems dringend angeraten. Üblicherweise besitzen Bots einen Keylogger und eine Netzwerksniffer-Funktion. Deshalb muss davon ausgegangen werden, dass Authentifizierungsdaten ausgespäht wurden - dies hat zur Folge, dass ALLE Passwörter (ggf. auch auf anderen Systemen) geändert werden sollten.

Einfallstor schliessen

Primäres Einfallstor von Bots (wie rbot, agobot) sind zumeist fehlende Microsoft-Sicherheitsupdates. Sollte nur der Bot entfernt werden, ohne die potentiellen Einfallstore zu schliessen, ist eine Reinfizierung binnen kurzer Zeit zu erwarten.

Typische Einfallstore sind:

RPC-DCOM (RUS-CERT#1144 bzw. MS03-026/MS03-039) über TCP/135, TCP/445, TCP/1025
LSASS (RUS-CERT#1191 bzw. MS04-011) über TCP/445
Workstation Service (RUS-CERT#1163 bzw. MC03-049) über TCP/135, TCP/445
WebDaV (RUS-CERT#1087) über TCP/80
DameWare (VU#909678) über TCP/6129
MyDoom-Backdoor (RUS-CERT#1177) über TCP/3127
Bagle-Backdoor (RUS-CERT#1182) über TCP/2745
IIS 5.x SSL PCT (RUS-CERT#1191 bzw. MS04-011) über TCP/443
Accounts mit Trivialpasswörtern (Verbindung über TCP/139 bzw. TCP/445) (Auflistung der in r(x)bot beinhalteten Accounts/Passwörter)
MSSQL-Server mit Trivialpasswort (z.B. "SA"-Account mit Leerpasswort, siehe Q321081) über TCP/1433

Manuelle Erkennung einer Bot-Infektion

Die meisten Bots sind im Taskmanager als Prozess (mit beliebigem) Namen zu sehen. Das Programm selbst wird hauptsächlich unter %windir%\system32 abgelegt. Üblicherweise wird der Bot nach einem Systemneustart über einen der folgenden Registry-Schlüssel gestartet:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

Typische Systemänderungen eines Bots sind z.B:

HKLM\Software\Microsoft\Ole\EnableDCOM="N"

um DCOM zu deaktivieren (siehe KB825750)

HKLM\System\CurrentControlSet\Control\Lsa\restrictanonymous="1"

um Anonymous-Verbindungen zu unterbinden (siehe KB246261)

und Eintragungen in der %windir%\system32\drivers\etc\hosts-Datei, um den Zugriff auf Anti-Virensoftware-Updates zu unterbinden. Ferner werden ggf. Freigaben angelegt und/oder Standardfreigabe (IPC$, ADMIN$, C$, D$) entfernt.