W32/Deloder

Ist ein PC mit dem Deloder-Wurm infiziert, prüft er zufällig gewählte IP-Adressen auf das Vorhandensein einer Windows-Installation mit einem geöffneten Port 445. Über diesen Port findet unter Windows 2000 und Windows XP in der Regel die Datei-Freigabe statt.

Das Vorhandensein des Ports 445 alleine reicht allerdings noch nicht für eine Infektion. Der Wurm versucht sich bei den gefundenen PCs als Administrator anzumelden, indem er eines von 50 klassischen "unsicheren" Passwörtern verwendet (siehe Liste bei F-Secure [1]).

Konnte sich der Wurm beim attackierten PC erfolgreich anmelden, kopiert er sich meist mit dem Dateinamen INST.EXE und DVLDR32.EXE in verschiedene System- bzw. Autostart-Ordner. Sobald der Computer das nächste Mal neu gestartet wird, beginnt auch dieser mit der Suche nach angreifbaren Systemen.

Gefährliche Hintertüre:

Die Verbreitung des Wurms ist noch nicht alles. Deloder entpackt nämlich noch weitere Dateien. Vier davon enthalten das Windows-Programm VNC, über welches sich ein PC vollumfänglich fernsteuern lässt:

cygwin1.dll

explorer.exe (meist im Fonts-Ordner)

omnithread_rt.dll

VNCHooks.dll

Eine fünfte Datei enthält ein Programm von SysInternals, welches ebenfalls Fernbedien-Eigenschaften aufweist:

psexec.exe

Ferner legt der Wurm (oft im Fonts-Ordner) eine Datei namens rundll32.exe ab, welche eine Verbindung zu einem von 13 IRC-Servern (Internet Relay Chat) öffnet.

Gemäss den Antivirus-Spezialisten von Sophos [2] sind es folgende Registry-Einträge, die vom Deloder-Wurm erstellt werden:

"messnger", der auf eine EXE-Datei des Wurms weist

"Explorer", der auf die Explorer.exe im Fonts-Ordner weist

"TaskMan", der auf die Datei rundll32.exe im Fonts-Ordner weist

Und diese liegen in diesem Registry-Zweig:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

\Windows\CurrentVersion\Run

Prävention:

In Firmennetzen sorgt meist eine Firewall dafür, dass die einzelnen Computer gegen aussen geschützt sind. Wessen Computer direkt mit dem Internet verbunden ist, sollte noch mehr darauf achten, prinzipiell für alle Freigaben und für alle Benutzer sichere Passwörter zu verwenden, siehe auch "Geheime Schlüssel", im PCtip 03/2003 [3].

Beseitigung:

Gemäss Symantec [4] reicht es, mit einem frisch aktualisierten Virenscanner alle Dateien zu scannen und die als infiziert gemeldeten Dateien zu löschen. Suchen Sie auch im Fonts-Ordner (z.B. in C:\WINNT\Fonts\) nach EXE-Dateien, die dort nicht hingehören (explorer.exe, rundll32.exe). Ändern Sie die Administrator-Passwörter aller Computer in Ihrem Netzwerk.

Wer sich mit dem Registry-Editor (REGEDIT.EXE) auskennt, sollte auch die vom Wurm abgelegten Einträge im oben erwähnten Registry-Zweig entfernen.