Hartnäckiger Internet-Wurm baut über mehrere Verbreitungswege neue Botnets auf

Das russische Security-Unternehmen Doctor Web warnt vor dem Wurm Win32.HLLW.Shadow.based, der sich aktuell über das Internet verbreitet. Er benutzt gleich mehrere Möglichkeiten in ein System einzudringen und ist zudem schwer zu analysieren, da er über polymorphe Packer verbreitet wird. Der Wurm nutzt Schwachstellen aller Windows-Versionen von Windows 2000 bis Windows 7 aus.

Mission des Win32.HLLW.Shadow.based
Das schädliche Programm wurde entwickelt, um neue Botnets aufzubauen. Wenn der Wurm aktiv ist, versucht er ausführbare Dateien von bestimmten Servern herunterzuladen. Danach installiert und startet er sie auf den Ziel¬rechnern. Entweder arbeiten Cyber-Kriminelle selbst mit dem Botnet, um Gewinne zu erwirtschaften oder sie planen es zu verkaufen. Augenblicklich stehen Botnets in diesen Kreisen recht hoch im Kurs.

Drei unterschiedliche Verbreitungswege des Internet-Wurms
Win32.HLLW.Shadow.based verbreitet sich über Wechseldatenträger oder Netzwerk-Laufwerke und nutzt dabei die Autorun-Funktion von Windows aus. Die maligne Datei ist mit einem Zufallsnamen versehen und wird in einem Ordner abgelegt, der sich wie folgt zusammensetzt: RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx . Über quasi den Windows-Papierkorb getarnt bleibt die Malware häufig unbemerkt.

Der Wurm kann sich alternativ über das Windows SMB-Protokoll verbreiten und versucht dann auf Grundlage eines Wörterbuchs und der gängigsten Pass¬wörter, einen Remote-Zugriff auf den Zielrechner zu bekommen. Gelingt es ihm, das Passwort zu knacken, kopiert sich das schädliche Programm in das System-Verzeichnis des angegriffenen Computers und erstellt dort eine Anwendung, die zu einem bestimmten Zeitpunkt ausgeführt werden soll.

Zudem kann der Wurm Sicherheitslücken ausnutzen, die bereits im Microsoft Security Bulletin MS08-067 beschrieben wurden. Ein Zielcomputer erhält eine bestimmte Anfrage, die einen Buffer Overflow bewirkt. Danach lädt der an¬gegriffene Rechner eine maligne Datei über HTTP.

Vielfältige Verhaltensweisen des Wurms nach dem Start
Beim Start prüft Win32.HLLW.Shadow.based, unter welchen Prozessen er augenblicklich läuft. Basiert dieser auf rundll32.exe, wird er seinen Code in svchost.exe und explorer.exe injizieren. Danach öffnet der Wurm einen Ordner im Explorer und stellt seine Arbeit ein.

In einem anderen Fall repliziert er sich selbst unter einem Namen, der per Zufallsgenerator erstellt wurde, und registriert eine Kopie seiner selbst als Windows-Dienst. Er fügt sie anschließend in das Autostart-Verzeichnis ein, um nach einem weiteren Hochfahren von Windows erneut gestartet zu werden. Zudem stoppt der Wurm den Windows Update-Service und installiert einen eigenen HTTP-Server, um sich über das Netzwerk zu verbreiten.

Stellt der Wurm fest, dass er svchost.exe benutzt injiziert er seinen Code in DNS-Routinen, um den Zugang zu Webseiten der meisten Anti-Viren-Hersteller zu blockieren.

Win32.HLLW.Shadow.based verfügt über einen Treiber, der Veränderungen der tcpip.sys-Datei im Speicher ermöglicht, um so die Zahl simultaner Netzwerkver¬bindungen zu erhöhen.

Desinfektions-Möglichkeiten
Win32.HLLW.Shadow.based lässt Windows sowohl Datei-Attribute neu setzen als auch Registry-Einträge schreiben, die mit Standard-Tools nicht mehr lesbar sind. Dr.Web Scanner für Windows kann hier Abhilfe leisten. Der Scanner bietet mit dem 'Dr.Web Shield' Anti-Rootkit-Treiber einen Scanner, der vollen Zugriff auf Dateien und Registry-Einträge besitzt, die derartig geschützt werden.

Neben der Standard-Anwendung für den permanenten Schutz können mit der neusten Version des kostenlos erhältlichen Dr.Web CureIt! alle Festplatten gescannt und das gesamte System desinfiziert werden.