Hartnäckiger Internet-Wurm baut über mehrere Verbreitungswege neue Botnets auf
Doctor Web

Hartnäckiger Internet-Wurm baut über mehrere Verbreitungswege neue Botnets auf

ID: 70390

Das russische Security-Unternehmen Doctor Web warnt vor dem Wurm Win32.HLLW.Shadow.based, der sich aktuell über das Internet verbreitet. Er benutzt gleich mehrere Möglichkeiten in ein System einzudringen und ist zudem schwer zu analysieren, da er über polymorphe Packer verbreitet wird. Der Wurm nutzt Schwachstellen aller Windows-Versionen von Windows 2000 bis Windows 7 aus.



(firmenpresse) - Mission des Win32.HLLW.Shadow.based

Das schädliche Programm wurde entwickelt, um neue Botnets aufzubauen. Wenn der Wurm aktiv ist, versucht er ausführbare Dateien von bestimmten Servern herunterzuladen. Danach installiert und startet er sie auf den Ziel¬rechnern. Entweder arbeiten Cyber-Kriminelle selbst mit dem Botnet, um Gewinne zu erwirtschaften oder sie planen es zu verkaufen. Augenblicklich stehen Botnets in diesen Kreisen recht hoch im Kurs.

Drei unterschiedliche Verbreitungswege des Internet-Wurms

Win32.HLLW.Shadow.based verbreitet sich über Wechseldatenträger oder Netzwerk-Laufwerke und nutzt dabei die Autorun-Funktion von Windows aus. Die maligne Datei ist mit einem Zufallsnamen versehen und wird in einem Ordner abgelegt, der sich wie folgt zusammensetzt: RECYCLERS-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx . Über quasi den Windows-Papierkorb getarnt, bleibt die Malware häufig unbemerkt.
Der Wurm kann sich alternativ über das Windows SMB-Protokoll verbreiten und versucht dann auf Grundlage eines Wörterbuchs und der gängigsten Pass¬wörter, einen Remote-Zugriff auf den Zielrechner zu bekommen. Gelingt es ihm, das Passwort zu knacken, kopiert sich das schädliche Programm in das System-Verzeichnis des angegriffenen Computers und erstellt dort eine Anwendung, die zu einem bestimmten Zeitpunkt ausgeführt werden soll.
Zudem kann der Wurm Sicherheitslücken ausnutzen, die bereits im Microsoft Security Bulletin MS08-067 beschrieben wurden. Ein Zielcomputer erhält eine bestimmte Anfrage, die einen Buffer Overflow bewirkt. Danach lädt der an¬gegriffene Rechner eine maligne Datei über HTTP.

Vielfältige Verhaltensweisen des Wurms nach dem Start

Beim Start prüft Win32.HLLW.Shadow.based, unter welchen Prozessen er augenblicklich läuft. Basiert dieser auf rundll32.exe, wird er seinen Code in svchost.exe und explorer.exe injizieren. Danach öffnet der Wurm einen Ordner im Explorer und stellt seine Arbeit ein.


In einem anderen Fall repliziert er sich selbst unter einem Namen, der per Zufallsgenerator erstellt wurde, und registriert eine Kopie seiner selbst als Windows-Dienst. Er fügt sie anschließend in das Autostart-Verzeichnis ein, um nach einem weiteren Hochfahren von Windows erneut gestartet zu werden. Zudem stoppt der Wurm den Windows Update-Service und installiert einen eigenen HTTP-Server, um sich über das Netzwerk zu verbreiten.
Stellt der Wurm fest, dass er svchost.exe benutzt, injiziert er seinen Code in DNS-Routinen, um den Zugang zu Webseiten der meisten Anti-Viren-Hersteller zu blockieren.
Win32.HLLW.Shadow.based verfügt über einen Treiber, der Veränderungen der tcpip.sys-Datei im Speicher ermöglicht, um so die Zahl simultaner Netzwerkver¬bindungen zu erhöhen.

Desinfektions-Möglichkeiten

Win32.HLLW.Shadow.based lässt Windows sowohl Datei-Attribute neu setzen als auch Registry-Einträge schreiben, die mit Standard-Tools nicht mehr lesbar sind. Dr.Web Scanner für Windows kann hier Abhilfe leisten. Der Scanner bietet mit dem 'Dr.Web Shield' Anti-Rootkit-Treiber einen Scanner, der vollen Zugriff auf Dateien und Registry-Einträge besitzt, die derartig geschützt werden.
Neben der Standard-Anwendung für den permanenten Schutz können mit der neusten Version des kostenlos erhältlichen Dr.Web CureIt! ( ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe ) alle Festplatten gescannt und das gesamte System desinfiziert werden.
Weitere Infos zu dieser Pressemeldung:
http://www.prolog.biz/presse/drweb/index.html


Themen in dieser Pressemitteilung:

security

internet

antivirus

netzwerk

software



Unternehmensinformation / Kurzprofil:

Dr.Web, einer der führenden Entwickler von Antivirus- und Antispam-Lösungen, begann bereits 1992 mit der Entwicklung und der Vermarktung der ersten Antivirus-Lösungen. Das internationale Headquarter des Unter¬neh¬mens, die Doctor Web Ltd., befindet sich heute in Moskau und ist einer der wenigen Anbieter der seine ei¬gene Technologie zu 100 Prozent In-Haus entwickelt hat und ebenfalls noch im vollständigen Besitz dieser ist. Derzeit beschäftigt das Unternehmen mehr als 120 Mitarbeiter, davon 75 im Bereich Research & Development.
Mit mehr als 15-jähriger Erfahrung gehört der Hersteller von Security-Lösungen zu den Pionieren in diesem Be¬reich und wurde für seine Lösungen bereits vielfach ausgezeichnet. Dr.Web legt großen Wert auf die effektive Lösung von Kundenproblemen und schnelle Reaktionen auf aktuelle Virengefahren. Die umfangreiche Produkt¬palette umfasst Lösungen zur Absicherung von einzelnen Arbeitsplätzen bis hin zu komplexen Netzwerken und wird im deutschsprachigen Raum über die Dr. Web Deutschland GmbH in Hanau vertrieben.
Zu den nationalen und internationalen Kunden zählen neben privaten Anwendern namhafte börsennotierte Un¬ternehmen sowie Bildungseinrichtungen und öffentliche Auftraggeber.



Leseranfragen:

Dr. Web (Antivirus) Deutschland GmbH
Rodenbacher Chaussee 6
D-63457 Hanau
Tel. 06181-906 012 10
Fax 06181-906 012 12
eMail: info(at)drweb-av.de
Deutsche Site: www.drweb-av.de
Internationale Site: www.drweb.com



PresseKontakt / Agentur:

Prolog Communications Gmb
Kellerstr. 14
D-81667 München
eMail: drweb(at)prolog.biz



drucken  als PDF  Konjunktursituation zwingt zur Qualitätsoffensive bei den IT-Services Jetzt gibt's was auf die Ohren: Verbatim erweitert Portfolio um 3 Headsets und 8 Earphones
Bereitgestellt von Benutzer: Prolog
Datum: 21.01.2009 - 10:23 Uhr
Sprache: Deutsch
News-ID 70390
Anzahl Zeichen: 0

Kontakt-Informationen:

Kategorie:

New Media & Software


Meldungsart: Produktinformation
Versandart: Veröffentlichung
Freigabedatum: 21.01.2009

Diese Pressemitteilung wurde bisher 670 mal aufgerufen.

Juristisches zu dieser Pressemitteilung

Die Pressemitteilung mit dem Titel:
"Hartnäckiger Internet-Wurm baut über mehrere Verbreitungswege neue Botnets auf "
steht unter der journalistisch-redaktionellen Verantwortung von

Doctor Web (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

PresseMitteilung löschen Pressemitteilung ändern PresseMitteilung beanstanden
Weitere Mitteilungen von Doctor Web
Dr.Web Antivirus Version 5.0 in zwei verschiedenen Varianten erschienen ...
Effizienter Schutz vor Rootkits mit neuer Version des Moduls Dr.Web Shield Das neue Dr.Web für Windows fungiert als Schutzschild gegen Rootkit-Viren, die sowohl erkannt als auch neutralisiert werden können. In der Version 5.0 wurde eine grundsätzlich neue Version des Moduls 'Dr.Web Shield

Maligner ICQ-Spam und weitere Modifikationen angeblicher Antivirus-Programme aber nur erstaunlich geringe Ausnutzung der Finanzkrise-Situation ...
Neue Spammer-Tricks - Verzicht auf Schnörkel Hauptziel der im Oktober versandten Spam-Messages war die Verbreitung zahlreicher Modifikationen des Trojan.DownLoad.4419. Die Ursprungsvariante dieses Virus hatte Doctor Web bereits im September ausführlich beschrieben. Üblicherweise waren solche E-M

Virusreport Doctor Web - Rückblick September 2008 ...
Gleich zu Beginn des Monats traten zwei neue Modifikationen des Erpresser-Trojaners auf. Diese Programme verschlüsseln Dokumente auf Computern und fordern dann eine Gebühr für deren Rückgabe. Doctor Web berichtete in diesem Zusammenhang bereits im vergangenen Monat über die Varianten Trojan.Enc


Weitere Mitteilungen von Doctor Web


Aktuelle Mitteilungen aus der Kategorie: New Media & Software
Konjunktursituation zwingt zur Qualitätsoffensive bei den IT-Services ...
(Darmstadt, 21.01.2009) Durch die schwächelnde Konjunktur sieht das Softwarehaus Servicetrace Unternehmen besonders herausgefordert, die Qualität ihrer Business Prozesse genau zu überwachen. Gemäß dem Motto „Survival of the fittest“ sollten Unternehmen gerade in solchen Zeiten Qualitätsoff

VOI veranstaltet Workshop nach Pecha Kucha zum Thema Prozessoptimierung ...
Projekte fallen weg, Resignation beginnt und es bleibt mehr Arbeit und Verantwortung für weniger Mitarbeiter. Ganz schnell setzt sich die Finanzkrise in unsere Köpfe. Wer kennt den Weg aus der Krise oder ist sie hausgemacht? Der Workshop am 17. Februar 2009 im Titania-Theater in Frankfurt zeigt

Ayee Landing Page: Die schnell programmierte Startseite fürs gezielte Online-Marketing! ...
Marketing mit Problemen: Oft fehlt den Online-Verkäufern eine Zielseite, auf der alle Artikel abgebildet werden, die in einem Mailing beworben werden oder die zu einem gebuchten Google-Adword passen. Die neue Ayee Landing Page generiert entsprechende Zielseiten in wenigen Minuten - und überzeugt h

1. Insel-Liebe auf Spiekeroog: So war sie! ...
Vom 16. bis zum 18. Januar 2009 fand auf der Nordsee-Insel Spiekeroog die 1. Insel-Liebe statt. Zu der Single-Veranstaltung luden Radio-Ashampoo.de, die Singlebörse Fischkopf.de und die Spiekerooger Leidenschaft ein. Nun sind die letzten Gäste abgereist, alle waren begeistert, mehrere Pärchen hab


 

Werbung



Sponsoren

foodir.org The food directory für Deutschland
News zu Snacks finden Sie auf Snackeo.
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z