[MS/Windows] Neue Bot-Variante verbreitet sich
(2007-03-22 11:44:34.884531+00)
Das RUS-CERT beobachtet derzeit die Verbreitung einer neuen Bot-Variante, die offene Netzwerkfreigaben sowie verschiedene Schwachstellen angreift. Die Malware wird derzeit nur von wenigen Antivirus-Programmen erkannt.
Betroffene Systeme
- Windows32-Systeme
- Beobachtet wurden bislang:
- Windows NT
- Windows 95/98/ME/SE
Einfallstor
- Netzwerkfreigaben
- Ausnutzung der folgenden Schwachstellen:
- Schwachstelle im Serverdienst (SRVSVC) (MS06-040, CVE-2006-3439)
- RPC-DCOM (RUS-CERT#1144, RUS-CERT#1127, RUS-CERT#1124, MS04-012, CVE-2003-0813, CVE-2004-0116, CVE-2003-0807, CVE-2004-0124)
- WKS (RUS-CERT#1163, MS03-049, CVE-2003-0812)
- ASN.1 (RUS-CERT#1179, MS04-007, CVE-2003-0818)
Auswirkung
- Kompromittierung des beherbergenden Rechnersystems und dessen Fernsteuerung als Bot.
- Weiterhin offenbare Auswirkung ist das Starten sehr vieler Kommandointerpreter (
cmd.exe) bis zum völligen Einfrieren des Systems
Typ der Malware
Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Das RUS-CERT beobachtet derzeit die Verbreitung einer neuen Bot-Variante, die sich über offene Netzwerkfreigaben und verschiedene Schwachstellen im beherbergenden Rechnersystem verbreitet. Im Augenblick sind durch das RUS-CERT nur befallene Rechnersysteme festgestellt worden, die unter Windows NT oder Windows 95/98/ME/SE betrieben werden.
Die Malware installiert sich selbst auf einem befallenen System als %SYSTEM%\srsvc.exe und startet so viele Eingabeaufforderungen (bislang nur auf NT-Systemen beobachtet), bis die gesamten Systemressourcen aufgebraucht sind und das beherbergende System einfriert.
HKLM\SYSTEM\CurrentControlSet\Services\srsvcWeiterhin wird die Datei
%TEMP%\sysremove.bat angelegt.
Gegenmaßnahmen
Verhalten bei erkannter Infektion, bzw. Mitteilung über eine Infektion durch das RUS-CERT:
- System vom Netz trennen
- Im abgesicherten Modus neu starten
- Mit einem Viren-Scanner (auf Aktualität achten!) oder einem Entfernungswerkzeug den Bot entfernen lassen
- Alle Sicherheitsupdates für die jeweilige MS Windows Variante offline einspielen.
Achtung! Es ist sehr wichtig, die Updates nicht online aus dem Netz zu laden, denn schon das kurze Zeitfenster, in dem das nunmehr bereinigte System ungepatcht am Netz hängt, reicht im Allgemeinen aus, es wieder zu infizieren. In diesem Falle ist bei 1. wieder zu beginnen. - Sofern Windows NT eingesetzt wird, müssen diese Systeme aufgrund des eingestellten Supports seitens Microsoft in jedem Fall durch eine Firewall-Lösung vom restlichen Netz abgeschottet werden. Die bessere Alternative ist der Umstieg auf ein aktuelles Betriebssystem.
- Rechnersysteme unter Windows 95/98/ME/SE sollten aufgrund der mangelhaften Sicherheitsausstattung dieser Betriebssysteme nicht am Netz betrieben werden. Es wird empfohlen, auf eine der netztauglichen Betriebsystemvarianten umzusteigen.
Erkennung und automatisierte Entfernung
Derzeit erkennen nur wenige der gängigen Antivirus-Programme die beschriebene Malware.
Für Mitglieder der Universität Stuttgart
Nach Mitteilung durch das RUS-CERT stellt Sophos seit 2007-03-23 Signaturen für den Standard-Virenscanner der Universität Stuttgart (Sophos) bereit, die nun die beschriebene Malware erkennt.
Die Malware wird als
- W32\Rbot-GHR
Um den Virenscanner zu installieren bzw. die Datenbank Ihres lokalen Scanners zu aktualisieren (sofern nicht automatisiert) besuchen Sie die Seiten zur Virenbekämpfung an der Universität Stuttgart des Rechenzentrums.
Malware ID
- W32\Rbot-GHR
- Worm/Sdbot.189376
- Win32:SdBot-gen44
- Backdoor.Win32.SdBot.qt
- W32.Spybot.Worm
- Worm.Sdbot.189376
Vulnerability ID
Durch die Malware zur Infektion eines Systems ausgenutzte Schwachstellen:
- MS06-040, CVE-2006-3439
- RUS-CERT#1144, RUS-CERT#1127, RUS-CERT#1124, MS04-012, CVE-2003-0813, CVE-2004-0116, CVE-2003-0807, CVE-2004-0124
- RUS-CERT#1163, MS03-049, CVE-2003-0812
- RUS-CERT#1179, MS04-007, CVE-2003-0818
Revisionen dieser Meldung
- V 1.0: Als Kurzmeldung veröffentlicht (2007-03-22)
- V 1.1: Zur Vollmeldung erweitert (2007-03-22)
- V 1.2: Information zur mittlerweile verfügbaren Sophos-Signatur hinzugefügt (2007-03-23)
- V 1.3: Weitere Malware IDs hinzugefügt (2007-03-23)
Weitere Artikel zu diesem Thema:
- [MS/Windows] SDBot-Variante verbreitet sich massiv (2007-01-23)
Eine Variante des SDBot infiziert derzeit massiv Systeme. Die Malware befällt nach derzeitigem Wissensstand nur Windows NT und ungepatchte Windows 2000 Systeme.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1359