Banges Warten auf den neuen Superwurm

30. April 2004, 14:39
70 Postings

Computer-Schädling attackiert Windows und Linux - Quellcode im Internet veröffentlicht - Experten rechnen mit einer Epidemie

Anti-Viren-Experten warnen vor einer neuen Schädlings-Epidemie. Ein neuer Superwurm namens "Phatbot", dessen Quelltext in einem Internetforum veröffentlicht wurde (der WebStandard berichtete), scheint schon bald zum großen Angriff auf Rechner bereit.

Eine Spielwiese für Script Kiddies

Phatbot ist nach Angaben der Experten mit einer Vielzahl von schädlichen Funktionen ausgestattet. Die Veröffentlichung des Quelltextes im Internet wird den Schädling zu einer Spielwiese für Script Kiddies machen. Da Phatbot auch ein grafisches Konfigurationstool mitliefert, können auch unerfahrene Anwender schnell und einfach einen Schädling ihrer Wahl erstellen. Phatbot folgt damit dem Schädling Agobot nach, dieser liegt mittlerweile - je nach Anti-Viren-Unternehmen - in 221 bis 675 verschiedenen Variationen vor.

Windows und Linux

Die Liste der "Features" von Phatbot ist lang: über bekannte Sicherheitslöcher und Hintertüren, die von anderen Schädlingen, wie etwa MyDoom und Bagle geöffnet wurden, kann Phatbot Rechner infizieren. Auch über das Trojaner-Toolkit Optix Pro sucht der Schädling nach Lücken. Angreifer erhalten über den Computer-Schädling Zugriff auf infizierte Rechner und können diese übernehmen. Zudem kann Phatbot neue Exploits automatisch nachladen und installieren, so die Experten. Besonders kritisch ist die Tatsache, dass Phatbot Rootkit-Funktionen für Windows mit Process Hide, um seine Existenz zu verbergen, integriert hat. Die Anti-Viren-Experten rechnen damit, dass auch schon bald entsprechende Rootkit-Sets für Linux in den POSIX-kompatiblen Schädling, der eigentlich in C++ geschrieben wurde, integriert werden könnten. Damit würde Phatbot nicht mehr nur für Windows, sondern auch für Linux/Unix zur Bedrohung.

Weitere "Features"

Phatbot kann aber noch mehr; so lassen sich automatisch CD-Keys von populären Spielen extrahieren oder Drohnen in einem IRC-Botnetz einsetzen. Unter VMWare ändert der Schädling sein Verhalten, um so für eine Analyse im Anti-Viren-Labor schwerer erkennbar zu sein. Auch diverse Debugger macht der Schädling sofort aus. Schließlich können sich die einzelnen Clients auch in einem P2P-Netzwerk organisieren und den Verkehr SSL-verschlüsselt übertragen.

Für Bastler

Der im Internet veröffentlichte Quellcode des Schädlings dürfte nicht das Original sein. Experten weisen auf einige Veränderungen hin, die eine Out-of-the-Box-Funktion - daher den sofortigen Einsatz ohne entsprechende Modifikationen - verhindern. Allerdings dürfte das "Scharfmachen" des Schädlings für findige Bastler kein Problem darstellen. Zwar schlagen aktuelle Virenscanner auf die in Phatbot integrierten Agobot-Signaturen an, doch stellt es keine große Schwierigkeit dar, unterschiedliche Varianten in beliebiger Menge zu erstellen, die von den Anti-Viren-Scannern nicht erkannt werden.(red)

  • Bild nicht mehr verfügbar
Share if you care.