computerwoche.de

Web

Würmer vernetzen sich zum Spam-Versand

18.03.2004

Nachdem bereits Würmer wie "Bagle" und "Mydoom" als Relays zum versenden von Massen-Mails konzipiert wurden, taucht nun eine neue Generation von Schädlingen dieser Art auf. "Gaobot" alias "Agobot" kriecht über Sicherheitslücken, die von anderen Schädlingen geöffnet wurden auf die Rechner und vernetzt sie mittels P2P-Technik (Peer to Peer). Unter anderem sucht der Wurm nach lokal gespeicherte Passwörtern und E-Mail-Adressen. Außerdem deaktiviert er Desktop-Firewalls sowie Antiviren-Software.

Über das Gefährdungspotenzial des Wurms sind sich Antivirenexperten bislang nicht einig. Craig Schmugar von Network Associates sagte, dass sein Unternehmen das Risiko derzeit lediglich aufgrund der noch geringen Verbreitung gering einstuft. Die implementierte P2P-Technologie könne jedoch von den Urhebern dazu genutzt werden, um sehr schnell enorme Mengen an Spam-Mails zu verschicken oder großangelegte DoS-Attacken (Denial of Service) zu starten.

Die "Bot"-Technik von Gaobot ist nicht revolutionär, meint dagegen Joe Stewart vom Sicherheitsspezialisten Lurhq. In jedem Fall empfehlen die Experten jedoch, Rechner möglichst gegen die automatisierten Würmer abzusichern, indem sowohl das Betriebssystem als auch Firewall und Antivirensoftware auf dem aktuellen Stand gehalten werden.

Gaobot verbreitet sich über die Windows-Varianten NT, 2000, XP und Server 2003 und nutzt dort bekannte Sicherheitslücken des DCOM RPC (Computerwoche.de berichtete), des RPC Locators (Computerwoche.de berichtete) und von WebDav (Computerwoche.de berichtete). Auch über einen ungeprüften Speicherbereich im Windows-Workstation-Service kann der Wurm auf Rechner kriechen (Computerwoche.de berichtete).

Auf infizierten Rechnern findet er sich unter der Bezeichnung "explored.exe" im System-Verzeichnis. Außerdem verewigt er sich in der Registrierdatenbank in den Schlüsseln

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" und

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices"

mit dem Eintrag

"Video"="%System%\explored.exe".

Ferner startet er einen Systemdienst mit der Bezeichnung "mpr". Über einen implementierten IRC-Kanal (Internet Relay Chat) wartet der Bot auf Steuerungsbefehle von außen. (lex)