Hanau, 21. Mai 2014

Datei-Viren sind mittlerweile selten anzutreffen, deshalb ist Win32.Sector, mit dem Übeltäter ein umfassendes Botnet aufgebaut haben, ein interessanter Fall: Die Sicherheitsanalysten von Doctor Web haben Win32.Sector unter die Lupe genommen und das Ausmaß der Infektion eingeschätzt.

Win32.Sector ist ein komplexer Datei-Virus, der sich selbständig verbreiten kann. Der Schädling, der seit 2008 bekannt ist, lädt sich aus einem P2P-Netzwerk und führt auf dem infizierten Rechner verschiedene ausführbare Dateien aus. Er kann sich auch in gestartete Prozesse einnisten, mehrere Programme abbrechen und den Zugang zu Entwickler-Websites blockieren. Der Schädling kann Dateien auf lokalen Datenträgern, Wechseldatenträgern sowie anderen zugänglichen Ordnern infizieren. Es gibt mehrere Varianten von Win32.Sector, die sich durch Datenprotokolle und ihre Struktur unterscheiden.

Win32.Sector hat keine Verwaltungsserver, greift aber auf Verbindungen mit anderen Bots, die auf infizierten Rechnern agieren, zu. Der Virus bestimmt zuerst, ob ein Rechner eine externe IP-Adresse hat. Nachdem sich Win32.Sector gestartet hat, greift er auf eine Liste mit IP-Adressen von anderen Bots, zu denen er eine Verbindung aufbaut, zu. Wenn dies gelungen ist, führt der Schädling folgende Befehle aus:

1. Abrufen der Konfigurationsdatei via UDP.
2. Abrufen des Plug-ins via TCP.
3. Prüfen auf NAT. Bei Internet-Zugag ohne NAT erhält der Bot eine ID via UDP.
4. Erhalten einer IP-Adresse einer anderen infizierten Workstation für den Verbindungsaufbau via UDP.

Mit Befehl 3 kann der Schädling als Router für andere Bots, die über keine NAT und keine externe IP-Adresse verfügen, agieren. Mit Befehl 4 kann er eine Liste mit IP-Adressen von anderen infizierten Rechnern erhalten.

Am 20. Mai 2014 waren mehr als 1.197.739 Rechner im Botnet Win32.Sector eingebunden. 109.783 Bots haben eine externe IP-Adresse und können als Router für andere infizierte Rechner eingesetzt werden. Das folgende Diagramm zeigt die Wachstumsdynamik dieses Botnets:

Wachstum des Botnets Win32.Sector

Im Schnitt sind täglich über 60.000 infizierte Rechner aktiv. Die Aktivitäten des Botnets Win32.Sector sind am folgenden Diagramm dargestellt:

Tägliche Aktivitäten des Botnets Win32.Sector

Die meisten durch Win32.Sector infizierten Rechner (212.401) befinden sich in Taiwan. Ägypten belegt mit 108.770 infizierten Rechnern Platz 2 und Indien mit 106.249 infizierten Rechnern Platz 3. Die weltweite Verbreitung können Sie der folgenden Grafik entnehmen:

Über das Botnet Win32.Sector werden weitere schädliche Programme verbreitet:

• Trojan.PWS.Stealer.1630 dient zum Diebstahl von Passwörtern und sensiblen Daten,
• Trojan.Mssmsgs.4048 ist ein Plug-in zum Versand von Spam-Mails,
• Trojan.DownLoader8.17844 und Trojan.DownLoader10.49375 sind HTTP- und SOCKS5-Proxys,
• Trojan.Siggen6.11882 ist ein DNS- (UDP-Port 53) und HTTP-Tunnel (TCP-Port 80),
• Trojan.Rbrute ist ein Trojaner zum Einbruch in WiFi-Routern,
• Trojan.Proxy.26841 ist ein Tunnel zur Übertragung von HTTP-Daten an vorgegebene Adressen.

Alle genannten Bedrohungen werden durch Dr.Web Antivirus erfolgreich erkannt und stellen keine Gefahr für Dr.Web-Anwender dar.