Tweet
Vom AusCERT wird eine Reihe von kompromittierten Windows Systemen beobachtet, wobei das Muster auf einen Wurm oder Wurm-aehnliches Tool hinweist, wie es im AusCERT Advisory AA-2002-03 beschrieben wurde (http://www.auscert.org.au/render.html?it=2228 und http://www.auscert.org.au/render.html?it=2229). Betroffen sindWindows NT, Windows 2000 und Windows XP.
Der "Wurm"
legt die Verzeichnisse %SystemRoot%/samples und %SystemRoot%system32s an.
erzeugt den Registry Key "Service" in HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/Run welcher die Programme "exec.exe" and "services.exe" startet.
startet einen FTP Server mit dem Namen "svchost" unter den Port 6640/tcp und 43958/tcp unter %SystemRoot%/samples/svchost.exe, welcher wiederum vom FireDaemon Utility gestartet wird. Letzteres ist im Task-Manager bzw. in der Management Konsole sichtbar. FireDaemon ist ein Tool aehnlich inetd unter UNIX.
versucht Verbindungen zu verschiedenen IRC-Servern auf Port 6667/tcp zu oeffnen. Ueber diese Verbindungen wird er vermutlich gesteuert. Zu der IRC Verbindung gehoert auch ein Ident Server auf Port 113/tcp mit dem Prozessnamen "services" unter %SystemRoot%/samples/s/services.exe.
Achtung: services.exe, svchost.exe gehoeren im Verzeichniss %SystemRoot%/system32 zur normalen Systemausstattung von Windows NT/2000/XP. Die trojanisierten Versionen lassen sich jedoch nicht mit dem Task-Manager beobachten. Mit entsprechenden Tools wie z.B. FPort lassen sich die Trojaner jedoch auffinden (http://www.foundstone.com/knowledge/...detection.html)
Die FTP-Server werden zur Verteilung von urheberrechtlich geschuetzter Werke, wie Software, Musik- und Videoclips, etc. (sog. Warez) verwendet.
Dem DFN-CERT sind einige Faelle bekannt, in denen ein Warez-FTP-Server unter dem Namen "svchost" aufgetaucht ist. Es ist also davonauszugehen, das dieser "Wurm" auch in Deutschland aktiv ist.
Da der genaue Infektionsweg noch nicht bekannt ist, koennen leider nur allgemeine Hinweise zur Absicherung gegeben werden:
Sperren sie alle nicht benoetigten Ports mit Paketfiltern, insbesondere die Ports fuer NetBIOS (135, 137, 138, 139, und 445, TCP und UDP), Internet Relay Chat (6660-7002/tcp) sowie die fuer File-Sharing Netzwerke (z.B. 1214, 1285, 1299, 1331,1337, 3135, 3136, 3137 fuer KaZaA; 6699, 8875, 8876, 8888 fuer Napster; 6257, 6699 fuer WinMX Client fuer Napster oder 6346, 6347 fuer Gnutella). Deaktivieren sie auch alle nicht-benoetigten Dienste und Programme.
Installieren sie alle Sicherheitspatches und Updates sowie die aktuellen Pattern-Daten ihres Virusscanners.
Verwenden sie Sicherheitssoftware, die mittels cryptographischer Pruefsummen Software ueberprueft, die neue Netzwerkverbindungen oeffnen will.
Sorgen Sie dafuer, das alle Verzeichnisse, Dateien und Registry-Keys moeglichst restriktive Erlaubnissrechte haben. Fuer alle Accounts sollten nicht leicht zu ratende Passworte vergeben und minimale Privilegien gesetzt sein.
Der "Wurm"
legt die Verzeichnisse %SystemRoot%/samples und %SystemRoot%system32s an.
erzeugt den Registry Key "Service" in HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/Run welcher die Programme "exec.exe" and "services.exe" startet.
startet einen FTP Server mit dem Namen "svchost" unter den Port 6640/tcp und 43958/tcp unter %SystemRoot%/samples/svchost.exe, welcher wiederum vom FireDaemon Utility gestartet wird. Letzteres ist im Task-Manager bzw. in der Management Konsole sichtbar. FireDaemon ist ein Tool aehnlich inetd unter UNIX.
versucht Verbindungen zu verschiedenen IRC-Servern auf Port 6667/tcp zu oeffnen. Ueber diese Verbindungen wird er vermutlich gesteuert. Zu der IRC Verbindung gehoert auch ein Ident Server auf Port 113/tcp mit dem Prozessnamen "services" unter %SystemRoot%/samples/s/services.exe.
Achtung: services.exe, svchost.exe gehoeren im Verzeichniss %SystemRoot%/system32 zur normalen Systemausstattung von Windows NT/2000/XP. Die trojanisierten Versionen lassen sich jedoch nicht mit dem Task-Manager beobachten. Mit entsprechenden Tools wie z.B. FPort lassen sich die Trojaner jedoch auffinden (http://www.foundstone.com/knowledge/...detection.html)
Die FTP-Server werden zur Verteilung von urheberrechtlich geschuetzter Werke, wie Software, Musik- und Videoclips, etc. (sog. Warez) verwendet.
Dem DFN-CERT sind einige Faelle bekannt, in denen ein Warez-FTP-Server unter dem Namen "svchost" aufgetaucht ist. Es ist also davonauszugehen, das dieser "Wurm" auch in Deutschland aktiv ist.
Da der genaue Infektionsweg noch nicht bekannt ist, koennen leider nur allgemeine Hinweise zur Absicherung gegeben werden:
Sperren sie alle nicht benoetigten Ports mit Paketfiltern, insbesondere die Ports fuer NetBIOS (135, 137, 138, 139, und 445, TCP und UDP), Internet Relay Chat (6660-7002/tcp) sowie die fuer File-Sharing Netzwerke (z.B. 1214, 1285, 1299, 1331,1337, 3135, 3136, 3137 fuer KaZaA; 6699, 8875, 8876, 8888 fuer Napster; 6257, 6699 fuer WinMX Client fuer Napster oder 6346, 6347 fuer Gnutella). Deaktivieren sie auch alle nicht-benoetigten Dienste und Programme.
Installieren sie alle Sicherheitspatches und Updates sowie die aktuellen Pattern-Daten ihres Virusscanners.
Verwenden sie Sicherheitssoftware, die mittels cryptographischer Pruefsummen Software ueberprueft, die neue Netzwerkverbindungen oeffnen will.
Sorgen Sie dafuer, das alle Verzeichnisse, Dateien und Registry-Keys moeglichst restriktive Erlaubnissrechte haben. Fuer alle Accounts sollten nicht leicht zu ratende Passworte vergeben und minimale Privilegien gesetzt sein.