W32/Raleka

Die vom Raleka-Wurm missbrauchte Sicherheitslücke in Windows NT 4.0, Windows 2000, Windows XP und Windows 2003 Server bewirkt, dass sich der Schädling via Netzwerk oder Internet direkt auf ungeschützten PCs installieren kann, ohne erst Mails zu verbreiten.

Die Sicherheitslücke "Pufferüberlauf in RPC-Schnittstelle kann Codeausführung ermöglichen" lässt sich durch die Installation eines Sicherheitsupdates [1] patchen. Auch wenn eine Firewall oder ein Router mit NAT (Network Address Translation [2]) vorhanden ist, welche die entsprechenden Ports [3] blockieren, sollten Sie dieses Sicherheitsupdate unbedingt auf allen anfälligen PCs, Servern und Notebooks installieren.

Um sich zu verbreiten, scannt der Wurm einen ganzen zufällig gewählten Bereich von IP-Adressen, meist viele gleichzeitig. Findet er ein angreifbares System, erstellt er ein dort eine Datei namens down.com und führt sie aus.

Ist dies gelungen, versucht diese Datei, vom angreifenden PC drei Dateien herunterzuladen. Gemäss F-Secure [4] sind das diese:

- svchost32.exe: der Wurm selber

- ntrootkit.exe: eine Backdoor-Komponente

- ntrootkit.reg: der Registry-Eintrag für die Backdoor-Komponente

Zudem versucht er, von diesen Dateien auf vordefinierten Servern im Internet neuere Versionen herunter zu laden.

Der Wurm beginnt sogleich, nach weiteren verwundbaren PCs zu suchen. Er installiert aber auch eine Backdoor-Komponente, die es einem Angreifer erlauben könnte, aus der Ferne Befehle an den infizierten PC zu schicken. Hierfür verbindet er sich mit einem von mehreren vordefinierten IRC-Servern (Internet Relay Chat), betritt einen der Channels und wartet dort auf die Kommandos seines "Schöpfers" oder eines anderen Crackers.

Es sind diese Dateien, die der Raleka-Wurm auf einem infizierten System erstellt:

Im Ordner C:\Windows\System\ oder C:\Winnt\System\ erstellt der Wurm zwei Dateien namens svchost.exe und meist auch eine svchost32.exe.

Achtung: Auf jedem PC mit Windows NT/2000/XP gibts auch in C:\Windows\System32\ (bzw. C:\Winnt\System32\) eine Datei namens svchost.exe. Diese ist jedoch eine wichtige Systemdatei von Windows. Vergleichen Sie den Ordnernamen genau.

Im Ordner C:\Windows\System32\ (bzw. C:\Winnt\System32\) legt er die zum Backdoor gehörenden Dateien ntrootkit.exe und ntrootkit.reg ab, und eine Datei namens svchost.cmd.

In der Windows-Registry nimmt er folgende Veränderungen vor:

In diesem Zweig:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers

Erstellt er diesen Eintrag:

"^%SystemRoot^%\\SYSTEM32\\NTROOTKIT.exe"="WIN2000" oder

"C:\\Windows\\SYSTEM32\\NTROOTKIT.exe"="WIN2000"

Zudem wird ein Dienst mit dem Namen "svchost" erstellt und der Beschreibung "Remote_Procedure_Call". Dies erzeugt Einträge in diesen Zweigen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\

Root\LEGACY_SVCHOST

Beseitigung:

Unter Windows XP empfiehlt es sich, zuerst die integrierte Internetverbindungsfirewall zu aktivieren. Eine deutsche Anleitung [5] finden Sie bei Microsoft. Nun sollten Sie via Windows-Update den Patch installieren.

Falls dies fehlschlägt, weil der PC nach der Ausgabe einer Fehlermeldung immer wieder herunterfährt, verhindern Sie das automatische Herunterfahren, sobald die Herunterfahr-Meldung wieder erscheint:

Drücken Sie die Tastenkombination "Windowstaste" und "R" oder gehen Sie zu "Start/Ausführen". Tippen Sie COMMAND ein und drücken Sie Enter. Nun öffnet sich ein DOS-Fenster, in welches Sie dies eintippen und mit Enter bestätigen:

NET STOP “Remote_Procedure_Call”

Dies sollte den vom Wurm erstellten Dienst stoppen. Falls Sie Herunterfahr-Meldungen immer noch erscheinen, tippen Sie auch dies ein und bestätigen Sie die Eingabe mit Enter:

shutdown -a

Lassen Sie das DOS-Fenster am besten gleich offen. Falls wieder eine Meldung ähnlich wie "System wird in 60 Sekunden heruntergefahren" erscheint, klicken Sie einfach kurz den Titelbalken des DOS-Fensters an, drücken einmal die Pfeil-Aufwärtstaste, um den vorhin eingegebenen Befehl abzurufen und drücken Sie wieder Enter.

Auf diese Weise sollte es Ihnen möglich sein, das Update zu installieren. Nach dem PC-Neustart scannen Sie Ihre Festplatte mit einem aktuellen Virenscanner nach Schädlingen und lassen Sie die als infiziert gemeldeten Dateien entfernen.

Die meisten Antivirus-Hersteller kennen W32/Raleka bereits, so zum Beispiel auch Sophos [6], NAI [7], Symantec [8] oder Trend Micro [9].