Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Datei-Virus Win32.Sector infiziert über 1 Mio. Rechner

Hanau, 21. Mai 2014

Datei-Viren sind mittlerweile selten anzutreffen, deshalb ist Win32.Sector, mit dem Übeltäter ein umfassendes Botnet aufgebaut haben, ein interessanter Fall: Die Sicherheitsanalysten von Doctor Web haben Win32.Sector unter die Lupe genommen und das Ausmaß der Infektion eingeschätzt.

Win32.Sector ist ein komplexer Datei-Virus, der sich selbständig verbreiten kann. Der Schädling, der seit 2008 bekannt ist, lädt sich aus einem P2P-Netzwerk und führt auf dem infizierten Rechner verschiedene ausführbare Dateien aus. Er kann sich auch in gestartete Prozesse einnisten, mehrere Programme abbrechen und den Zugang zu Entwickler-Websites blockieren. Der Schädling kann Dateien auf lokalen Datenträgern, Wechseldatenträgern sowie anderen zugänglichen Ordnern infizieren. Es gibt mehrere Varianten von Win32.Sector, die sich durch Datenprotokolle und ihre Struktur unterscheiden.

Win32.Sector hat keine Verwaltungsserver, greift aber auf Verbindungen mit anderen Bots, die auf infizierten Rechnern agieren, zu. Der Virus bestimmt zuerst, ob ein Rechner eine externe IP-Adresse hat. Nachdem sich Win32.Sector gestartet hat, greift er auf eine Liste mit IP-Adressen von anderen Bots, zu denen er eine Verbindung aufbaut, zu. Wenn dies gelungen ist, führt der Schädling folgende Befehle aus:

  1. Abrufen der Konfigurationsdatei via UDP.
  2. Abrufen des Plug-ins via TCP.
  3. Prüfen auf NAT. Bei Internet-Zugag ohne NAT erhält der Bot eine ID via UDP.
  4. Erhalten einer IP-Adresse einer anderen infizierten Workstation für den Verbindungsaufbau via UDP.

Mit Befehl 3 kann der Schädling als Router für andere Bots, die über keine NAT und keine externe IP-Adresse verfügen, agieren. Mit Befehl 4 kann er eine Liste mit IP-Adressen von anderen infizierten Rechnern erhalten.

Am 20. Mai 2014 waren mehr als 1.197.739 Rechner im Botnet Win32.Sector eingebunden. 109.783 Bots haben eine externe IP-Adresse und können als Router für andere infizierte Rechner eingesetzt werden. Das folgende Diagramm zeigt die Wachstumsdynamik dieses Botnets:

Wachstum des Botnets Win32.Sector

Im Schnitt sind täglich über 60.000 infizierte Rechner aktiv. Die Aktivitäten des Botnets Win32.Sector sind am folgenden Diagramm dargestellt:

Tägliche Aktivitäten des Botnets Win32.Sector

Die meisten durch Win32.Sector infizierten Rechner (212.401) befinden sich in Taiwan. Ägypten belegt mit 108.770 infizierten Rechnern Platz 2 und Indien mit 106.249 infizierten Rechnern Platz 3. Die weltweite Verbreitung können Sie der folgenden Grafik entnehmen:

Über das Botnet Win32.Sector werden weitere schädliche Programme verbreitet:

Alle genannten Bedrohungen werden durch Dr.Web Antivirus erfolgreich erkannt und stellen keine Gefahr für Dr.Web-Anwender dar.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden