Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Win32.HLLW.Shadow.based nutzt Windows-Schwachstellen aus

Hartnäckiger Internet-Wurm baut über mehrere Verbreitungswege neue Botnets auf

15. Januar 2009

Das russische Security-Unternehmen Doctor Web warnt vor dem Wurm Win32.HLLW.Shadow.based, der sich aktuell über das Internet verbreitet. Er benutzt gleich mehrere Möglichkeiten in ein System einzudringen und ist zudem schwer zu analysieren, da er über polymorphe Packer verbreitet wird. Der Wurm nutzt Schwachstellen aller Windows-Versionen von Windows 2000 bis Windows 7 aus.

Mission des Win32.HLLW.Shadow.based
Das schädliche Programm wurde entwickelt, um neue Botnets aufzubauen. Wenn der Wurm aktiv ist, versucht er ausführbare Dateien von bestimmten Servern herunterzuladen. Danach installiert und startet er sie auf den Ziel¬rechnern. Entweder arbeiten Cyber-Kriminelle selbst mit dem Botnet, um Gewinne zu erwirtschaften oder sie planen es zu verkaufen. Augenblicklich stehen Botnets in diesen Kreisen recht hoch im Kurs.

Drei unterschiedliche Verbreitungswege des Internet-Wurms
Win32.HLLW.Shadow.based verbreitet sich über Wechseldatenträger oder Netzwerk-Laufwerke und nutzt dabei die Autorun-Funktion von Windows aus. Die maligne Datei ist mit einem Zufallsnamen versehen und wird in einem Ordner abgelegt, der sich wie folgt zusammensetzt: RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx . Über quasi den Windows-Papierkorb getarnt bleibt die Malware häufig unbemerkt.

Der Wurm kann sich alternativ über das Windows SMB-Protokoll verbreiten und versucht dann auf Grundlage eines Wörterbuchs und der gängigsten Pass¬wörter, einen Remote-Zugriff auf den Zielrechner zu bekommen. Gelingt es ihm, das Passwort zu knacken, kopiert sich das schädliche Programm in das System-Verzeichnis des angegriffenen Computers und erstellt dort eine Anwendung, die zu einem bestimmten Zeitpunkt ausgeführt werden soll.

Zudem kann der Wurm Sicherheitslücken ausnutzen, die bereits im Microsoft Security Bulletin MS08-067 beschrieben wurden. Ein Zielcomputer erhält eine bestimmte Anfrage, die einen Buffer Overflow bewirkt. Danach lädt der an¬gegriffene Rechner eine maligne Datei über HTTP.

Vielfältige Verhaltensweisen des Wurms nach dem Start
Beim Start prüft Win32.HLLW.Shadow.based, unter welchen Prozessen er augenblicklich läuft. Basiert dieser auf rundll32.exe, wird er seinen Code in svchost.exe und explorer.exe injizieren. Danach öffnet der Wurm einen Ordner im Explorer und stellt seine Arbeit ein.

In einem anderen Fall repliziert er sich selbst unter einem Namen, der per Zufallsgenerator erstellt wurde, und registriert eine Kopie seiner selbst als Windows-Dienst. Er fügt sie anschließend in das Autostart-Verzeichnis ein, um nach einem weiteren Hochfahren von Windows erneut gestartet zu werden. Zudem stoppt der Wurm den Windows Update-Service und installiert einen eigenen HTTP-Server, um sich über das Netzwerk zu verbreiten.

Stellt der Wurm fest, dass er svchost.exe benutzt injiziert er seinen Code in DNS-Routinen, um den Zugang zu Webseiten der meisten Anti-Viren-Hersteller zu blockieren.

Win32.HLLW.Shadow.based verfügt über einen Treiber, der Veränderungen der tcpip.sys-Datei im Speicher ermöglicht, um so die Zahl simultaner Netzwerkver¬bindungen zu erhöhen.

Desinfektions-Möglichkeiten
Win32.HLLW.Shadow.based lässt Windows sowohl Datei-Attribute neu setzen als auch Registry-Einträge schreiben, die mit Standard-Tools nicht mehr lesbar sind. Dr.Web Scanner für Windows kann hier Abhilfe leisten. Der Scanner bietet mit dem 'Dr.Web Shield' Anti-Rootkit-Treiber einen Scanner, der vollen Zugriff auf Dateien und Registry-Einträge besitzt, die derartig geschützt werden.

Neben der Standard-Anwendung für den permanenten Schutz können mit der neusten Version des kostenlos erhältlichen Dr.Web CureIt! alle Festplatten gescannt und das gesamte System desinfiziert werden.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden