Eine Variante des SDBot infiziert derzeit massiv Systeme. Die Malware befällt nach derzeitigem Wissensstand nur Windows NT und ungepatchte Windows 2000 Systeme.

Betroffene Systeme

• Windows NT
• Windows 2000

Einfallstor/Verbreitungsweg
Beobachtet wurden bislang:

• Netzwerkfreigaben mit schwachen Passwörtern
• NetBIOS, 135-139/tcp

Auswirkung
Kompromittierung des beherbergenden Rechnersystems und dessen Fernsteuerung als Bot. Nachladen von weiterer Malware, u.a. FTP- sowie SQLServer-Backdoors. Je nach Kommando, das er durch seinen Command-and-Control-Server (CoC) erhält.

Typ der Malware
IRC-Bot

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Derzeit verbreitet sich eine Variante des SDBot, die massiv Windows NT und ungepatchte Windows 2000 Systeme infiziert. Die zur Zeit nur von sehr wenigen Antivirus-Programmen erkannte Malware installiert dabei die Datei %WINDOWS%\mstinit.exe. Diese Datei wird als Systemdienst mit dem Namen Scheduling Agent sowie Microsoft Task Dienst ausgeführt.

Dieser Dienst legt folgende Registry-Einträge an:

HKLM\SYSTEM\CurrentControlSet\Services\Mstinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon = (SFCScan, 0)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon = (SFCDisable, ffffff9d)

Darüber hinaus werden auch die Dateien

%SYSTEM%\ftp.exe
%SYSTEM%\ftpd.exe
%SYSTEM%\sfc_os.dll

ersetzt. Die Veränderung der zuletzt genannten Datei hat eine Systemnachricht zur Folge, in der die Deaktivierung des Windows Dateischutzes gemeldet wird.

Neben den üblichen Standardfunktionen, nach weiteren verwundbaren Systemen zu suchen und diese zu infizieren, machen sich die Bots auch vereinzelt durch das Herunterfahren infizierter Systeme bemerkbar.

Eine manuelle Desinfektion erscheint durch die Entfernung o.a. Dateien und Registry Einträgen möglich.

Gegenmaßnahmen

Verhalten bei erkannter Infektion, bzw. Mitteilung über eine Infektion durch das RUS-CERT:

1. System vom Netz trennen
2. Im abgesicherten Modus neu starten
3. Mit einem Viren-Scanner (auf Aktualität achten!) oder einem Entfernungswerkzeug den Bot entfernen lassen
4. Alle Sicherheitsupdates für die jeweilige MS Windows Variante offline einspielen.
   Achtung! Es ist sehr wichtig, die Updates nicht online aus dem Netz zu laden, denn schon das kurze Zeitfenster, in dem das nunmehr bereinigte System ungepatcht am Netz hängt, reicht im Allgemeinen aus, es wieder zu infizieren. In diesem Falle ist bei 1. wieder zu beginnen.
5. Sofern Windows NT eingesetzt wird, müssen diese Systeme aufgrund des eingestellten Supports seitens Microsoft in jedem Fall durch eine Firewall-Lösung vom restlichen Netz abgeschottet werden. Die bessere Alternative ist der Umstieg auf ein aktuelles Betriebssystem.

Für Mitglieder der Universität Stuttgart
Seit 2007-01-26 sind Signaturen für den Standard-Virenscanner der Universität Stuttgart (Sophos) verfügbar, die die beschriebene Malware erkennt. Um den Virenscanner zu installieren bzw. die Datenbank Ihres lokalen Scanners zu aktualisieren (sofern nicht automatisiert) besuchen Sie die Seiten zur Virenbekämpfung an der Universität Stuttgart des Rechenzentrums.

Malware ID
Folgende Bezeichnungen sind bislang für den Bot vergeben

• BackDoor.IRC.Sdbot.1038
• Backdoor.Sdbot.Z
• Backdoor.VanBot.as
• Backdoor.Win32.VanBot.as
• BDS/VanBot.AS
• IRC/BackDoor.SdBot2.RFI
• IRC/SdBot
• Trojan.IRC.SdBot
• Worm.Ircbot.Gen
• W32/Sdbot.JHC.worm
• W32/SpyBot.UX!worm
• W32/Tilebot-IO
• Win32.Spybot

Weitere Information zu diesem Thema

• Information zur Entfernung von Bots

Nicht betroffene Systeme

• Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.

Credits
Dr. Burkhard Miehlich (Institut für Organische Chemie, Uni-Stuttgart)

Revisonen dieser Meldung

• V 1.0: als Kurzmeldung veröffentlicht (2007-01-23)
• V 1.1: zur Vollmeldung erweitert (2007-01-26)

Weitere Artikel zu diesem Thema:

• [MS/Windows] Neue Bot-Variante verbreitet sich (2007-03-22)
  Das RUS-CERT beobachtet derzeit die Verbreitung einer neuen Bot-Variante, die offene Netzwerkfreigaben sowie verschiedene Schwachstellen angreift. Die Malware wird derzeit nur von wenigen Antivirus-Programmen erkannt.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/