Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1359

[MS/Windows] Neue Bot-Variante verbreitet sich
(2007-03-22 11:44:34.884531+00)


Das RUS-CERT beobachtet derzeit die Verbreitung einer neuen Bot-Variante, die offene Netzwerkfreigaben sowie verschiedene Schwachstellen angreift. Die Malware wird derzeit nur von wenigen Antivirus-Programmen erkannt.

Betroffene Systeme

Einfallstor

Auswirkung

Typ der Malware

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Das RUS-CERT beobachtet derzeit die Verbreitung einer neuen Bot-Variante, die sich über offene Netzwerkfreigaben und verschiedene Schwachstellen im beherbergenden Rechnersystem verbreitet. Im Augenblick sind durch das RUS-CERT nur befallene Rechnersysteme festgestellt worden, die unter Windows NT oder Windows 95/98/ME/SE betrieben werden.

Die Malware installiert sich selbst auf einem befallenen System als %SYSTEM%\srsvc.exe und startet so viele Eingabeaufforderungen (bislang nur auf NT-Systemen beobachtet), bis die gesamten Systemressourcen aufgebraucht sind und das beherbergende System einfriert.

Der Bot legt folgenden Registryeintrag an, mit dem er zur Bootzeit automatisch gestartet wird:
HKLM\SYSTEM\CurrentControlSet\Services\srsvc
Weiterhin wird die Datei %TEMP%\sysremove.bat angelegt.

Gegenmaßnahmen
Verhalten bei erkannter Infektion, bzw. Mitteilung über eine Infektion durch das RUS-CERT:

  1. System vom Netz trennen
  2. Im abgesicherten Modus neu starten
  3. Mit einem Viren-Scanner (auf Aktualität achten!) oder einem Entfernungswerkzeug den Bot entfernen lassen
  4. Alle Sicherheitsupdates für die jeweilige MS Windows Variante offline einspielen.
    Achtung! Es ist sehr wichtig, die Updates nicht online aus dem Netz zu laden, denn schon das kurze Zeitfenster, in dem das nunmehr bereinigte System ungepatcht am Netz hängt, reicht im Allgemeinen aus, es wieder zu infizieren. In diesem Falle ist bei 1. wieder zu beginnen.
  5. Sofern Windows NT eingesetzt wird, müssen diese Systeme aufgrund des eingestellten Supports seitens Microsoft in jedem Fall durch eine Firewall-Lösung vom restlichen Netz abgeschottet werden. Die bessere Alternative ist der Umstieg auf ein aktuelles Betriebssystem.

Erkennung und automatisierte Entfernung
Derzeit erkennen nur wenige der gängigen Antivirus-Programme die beschriebene Malware.

Für Mitglieder der Universität Stuttgart
Nach Mitteilung durch das RUS-CERT stellt Sophos seit 2007-03-23 Signaturen für den Standard-Virenscanner der Universität Stuttgart (Sophos) bereit, die nun die beschriebene Malware erkennt.

Die Malware wird als

erkannt.

Um den Virenscanner zu installieren bzw. die Datenbank Ihres lokalen Scanners zu aktualisieren (sofern nicht automatisiert) besuchen Sie die Seiten zur Virenbekämpfung an der Universität Stuttgart des Rechenzentrums.

Malware ID

Vulnerability ID
Durch die Malware zur Infektion eines Systems ausgenutzte Schwachstellen:

Revisionen dieser Meldung

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1359