Superwurm für Unix/Linux/Windows/MacOSx etc.. (KEIN FAKE)

Post Reply
Message
Author
root_tux_linux
Posts: 537
Joined: 07. Dec 2003 21:07
Location: Schweiz

Superwurm für Unix/Linux/Windows/MacOSx etc.. (KEIN FAKE)

#1 Post by root_tux_linux »

Superwurm mit öffentlichem Quelltext


Phatbot ist der Nachfolger zu Agobot, ein Schädling mit äußerst komplexen Funktionen. Er kann Rechner übernehmen und für quasi beliebige Zwecke missbrauchen. Phatbot kann in fremde Rechner über bekannte Sicherheitslücken wie die Windows RPC-Lücke eindringen, um Systeme ohne Zutun des Anwenders zu infizieren, sofern keine entsprechenden Sicherheitspatches installiert sind. Besonders problematisch: Der Quellcode wurde über ein Web-Forum veröffentlicht und steht als öffentlicher Download zur Verfügung.




Im Grunde kombiniert Phatbot alle typischen Funktionen aus vergangenen Schädlingen: Er verbreitet sich nicht nur über herkömmliche Verbreitungswege wie Netzwerkfreigaben, sondern vermag ebenso nach Hintertüren von den Mail-Würmern MyDoom und Bagle sowie dem Trojaner-Toolkit Optix Pro zu suchen, um anfällige Rechner darüber zu infizieren. Über einen umfangreichen Befehlssatz können durch den Bot infizierte Systeme ferngesteuert werden. Dabei benutzt er ein dynamisch erweiterbares Modell, um Befehle zu registrieren. Sollten neue Exploits auftauchen, können die Bot-Instanzen diese automatisch nachladen und installieren.


Die Liste der Features von Phatbot ist nahezu unüberschaubar: Er kann automatisch CD-Keys von populären Spielen extrahieren oder als Drohne in einem IRC-Botnetz eingesetzt werden. Phatbot bringt dabei Rootkit-Funktionen für Windows mit (Process Hide), um seine Existenz zu verbergen. Um seine Analyse in Virenlaboren zu erschweren, kann er sich unter VMware völlig anders verhalten. Ebenso erkennt er das Vorhandensein diverser Debugger zuverlässig. Zudem läuft der Schädling auch unter Linux: Der in C++ geschriebene Bot ist POSIX-kompatibel und damit auch unter Unix-Systemen funktionsfähig. Schließlich können sich die einzelnen Clients in einem Peer-to-Peer-Netzwerk organisieren und den Verkehr SSL-verschlüsselt übertragen.


Die Antiviren-Hersteller sehen das Hauptproblem aber weniger in der Komplexität des Schädlings als vielmehr in der Verfügbarkeit des Quellcodes. "Wir müssen befürchten, dass sich bald jedes Script-Kiddie eine eigene Variante des Phatbots zusammenklicken kann", sagte Eric Chien, Leiter der europäischen Zentrale des Security Response Center von Symantec, gegenüber heise Security. Da der Bot gleich ein grafisches Konfigurationstool mitbringt, ist das auch für unerfahrene Anwender mit wenig Aufwand zu realisieren.


Die Gefahr ist mehr als nur theoretisch: Schon bevor der Quellcode verfügbar war, sind binnen Wochen über 200 Agobot-Varianten in freier Wildbahn aufgetaucht. Sophos beispielsweise führt 221 Agobot-Varianten in seiner Datenbank. Geht man nach den Varianten-Bezeichnungen von Trend Micro, die mittlerweile bei Agobot.ZX angekommen sind, gibt es bereits 675 registrierte Varianten. Aufgrund des offenen Quellcodes ist jetzt zu befürchten, dass neue Varianten noch schneller und häufiger auftauchen werden.


Der Quellcode von Phatbot wurde letzte Woche über ein öffentliches Web-Forum der Virenszene veröffentlicht -- zweifellos war das aber nicht im Sinne der Programmierer. Der Quellcode ist auch nicht ganz sauber, er wurde offenbar leicht abgeändert, um eine Out-of-the-Box-Funktion zu verhindern. Für findige Bastler sollte es aber kein Problem sein, den Bot voll funktionsfähig zu machen.


Virenscanner mit aktuellen Signaturen erkennen zwar auch die aktuell bekannten Agobot-Varianten, jedoch ist es mit dem Quellcode kein größeres Problem, Varianten in beliebiger Menge zu erstellen, die von den Scannern nicht erkannt werden -- welcher Virenscanner kann schon ein ganzes Programm zerlegen? (pab/c't)


Quelle:http://www.heise.de/newsticker/meldung/46634

User avatar
pab
Posts: 2
Joined: 18. Apr 2004 12:41

Virus bei Linux dabei

#2 Post by pab »

Viele linux-distributoren, liefern derzeit eine trojanisierte Version des bekannten 'ReadMail' (rm) commandos aus.

Wird das Programm mit der Option 'Really-Fast' (-rf) gestartet, kann Datenverlust nicht ausgeschlossen werden!


Im Ernst: Das Ding läst sich als SERVER unter Linux kompilieren.

Du kannst also von linux die Clients fernsteueren.. uuhhh

User avatar
cero
Posts: 220
Joined: 13. Apr 2004 8:13
Location: Buchholz i.d.N.

Re: Virus bei Linux dabei

#3 Post by cero »

pab wrote:Viele linux-distributoren, liefern derzeit eine trojanisierte Version des bekannten 'ReadMail' (rm) commandos aus.

Wird das Programm mit der Option 'Really-Fast' (-rf) gestartet, kann Datenverlust nicht ausgeschlossen werden!


Im Ernst: Das Ding läst sich als SERVER unter Linux kompilieren.

Du kannst also von linux die Clients fernsteueren.. uuhhh

Sowas kannst Du hier nicht posten. Es gibt auch Anfänger in diesem Forum - die
probieren das evtl. noch aus. Das past eher nach Fun & Jokes.
MfG
cero

Post Reply