News 18.08.2005, 09:15 Uhr

W32/Zotob.A

Meldet ein PC mit Windows 2000 oder XP, dass er in 60 Sekunden herunterfährt, dann kann dies seit kurzem nicht nur der Blaster- oder Sasser-Wurm sein, sondern ein kürzlich entdecktes Biest namens Zotob.
Beim Netzwerkwurm Zotob handelt es sich um einen "Verwandten" des Wurms Mytob [1]. Zotob verbreitet sich nicht via E-Mail, sondern nutzt eine Sicherheitslücke aus, die in ungepatchten Systemen mit Windows 2000 und XP gefunden wurde. Der Patch zum Stopfen der Lücke ist seit dem 10. August 2005 verfügbar. Er lässt sich via Windows-Update oder per direktem Download [2] installieren.
Diese erste Variante von Zotob installiert sich mit dem Dateinamen botzor.exe in den Windows-Systemordner (andere Varianten dieses Wurms werden ev. andere Dateinamen verwenden). Um sicherzustellen, dass er bei jedem Systemstart geladen wird, trägt er sich in diesen beiden Registry-Zweigen ein:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Beidesmal mit dem Wert: "WINDOWS SYSTEM" = "botzor.exe"
Zusätzlich ändert einen Wert in diesem Registry-Eintrag:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
Den Eintrag "Start" ändert er hier vom Wert "3" auf "4"
Um sich weiterzuverbreiten, durchsucht er das Netzwerk nach PCs, die über den TCP-Port 445 erreichbar sind. Wird er fündig, prüft der Wurm, ob die Sicherheitslücke vorhanden und der PC angreifbar ist. Wenn der Wurm Erfolg hat, startet er unter Port 8888 eine Command-Shell. Über diese schickt er ein FTP-Script zum PC seines zukünftigen Opfers und führt dieses Script dort aus. Dieses Script enthält die Anweisung, den Wurm mit dem Dateinamen haha.exe vom angreifenden PC herunter zu laden. Auf allen infizierten PCs horcht unter Port 33333 ein FTP-Server, der darauf wartet, den Wurm an weitere Systeme auszuliefern, die gerade infiziert werden.
Der Wurm versucht sich mit einem IRC-Kanal (Internet Relay Chat) zu verbinden. Ein Angreifer, der das Passwort des Kanals kennt, kann den dort auf Befehle wartenden Bot anweisen, Informationen über den infizierten PC zu liefern, Dateien herunter zu laden und auszuführen, den Wurm vom System zu entfernen und Sicherheitseinstellungen auf dem infizierten PC zu ändern.
Damit es für infizierte PCs schwerer wird, an Sicherheits- und Antivirus-Updates zu kommen, schreibt er mehrere Domains in die Datei namens Hosts, die normalerweise in C:\WINNT\system32\drivers\etc\ oder C:\Windows\System32\drivers\etc\ liegt. Indem er mit diesem Trick diese Adressen auf die lokale IP-Adresse 127.0.0.1 umbiegt, sind die Adressen nicht mehr auf herkömmlichem Weg erreichbar:
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
ebay.com
f-secure.com
kaspersky.com
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
microsoft.com
moneybookers.com
my-etrust.com
nai.com
networkassociates.com
pandasoftware.com
paypal.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
updates.symantec.com
update.symantec.com
us.mcafee.com
viruslist.com
virustotal.com
www.amazon.com
www.avp.com
www.ca.com
www.ebay.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.moneybookers.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.paypal.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.virustotal.com
Zusätzlich fügt er folgende "Grussbotschaft" in die Hosts-Datei ein:
"Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!"
Alle uns bekannten Antivirus-Hersteller haben inzwischen Signaturen bereitgestellt, um den Wurm zu erkennen und zu beseitigen. Infos finden Sie auch z.B. bei F-Secure [3] oder McAfee [4].
Symantec hat ein Beseitigungs-Tool bereitgestellt. Bevor Sie aber den Wurm entfernen, sollten Sie auf dem infizierten System den erwähnten Patch installieren, sonst steckt sich das System sofort wieder an (siehe Microsoft-Link).
Laden Sie danach das Zotob-Beseitigungs-Tool [5] herunter. Melden Sie sich auf dem PC als Administrator an bzw. als Benutzer mit Administrator-Rechten. Trennen Sie das System vom Netzwerk. Starten Sie das heruntergeladene Programm FixZotob.exe und klicken Sie darin auf Start, um mit dem Beseitigungsprozess zu beginnen. Wenn fertig, starten Sie den PC nochmals neu und führen Sie das Programm ein zweites Mal aus, um sicher zu stellen, dass der Wurm weg ist.
Verbinden Sie den PC wieder mit dem Netz und führen Sie ein Windows-Update durch, um allenfalls noch fehlende, andere Patches zu installieren. Scannen Sie Ihre Festplatte zusätzlich mit einem frisch aktualisierten Virenscanner.
Auch McAfees Reparaturprogramm Stinger [6] sowie Microsofts "Windows-Tool zum Entfernen bösartiger Software" [7] können in der neusten Version den Zotob-Wurm beseitigen. Das Vorgehen ist gleich wie bei jenem von Symantec.



Kommentare
Es sind keine Kommentare vorhanden.