Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Superwurm für Unix/Linux/Windows/MacOSx etc.. (KEIN FAKE)

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sonstiges
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
root_tux_linux



Anmeldungsdatum: 07.12.2003
Beiträge: 537
Wohnort: Schweiz

BeitragVerfasst am: 20. Apr 2004 1:21   Titel: Superwurm für Unix/Linux/Windows/MacOSx etc.. (KEIN FAKE)

Superwurm mit öffentlichem Quelltext


Phatbot ist der Nachfolger zu Agobot, ein Schädling mit äußerst komplexen Funktionen. Er kann Rechner übernehmen und für quasi beliebige Zwecke missbrauchen. Phatbot kann in fremde Rechner über bekannte Sicherheitslücken wie die Windows RPC-Lücke eindringen, um Systeme ohne Zutun des Anwenders zu infizieren, sofern keine entsprechenden Sicherheitspatches installiert sind. Besonders problematisch: Der Quellcode wurde über ein Web-Forum veröffentlicht und steht als öffentlicher Download zur Verfügung.




Im Grunde kombiniert Phatbot alle typischen Funktionen aus vergangenen Schädlingen: Er verbreitet sich nicht nur über herkömmliche Verbreitungswege wie Netzwerkfreigaben, sondern vermag ebenso nach Hintertüren von den Mail-Würmern MyDoom und Bagle sowie dem Trojaner-Toolkit Optix Pro zu suchen, um anfällige Rechner darüber zu infizieren. Über einen umfangreichen Befehlssatz können durch den Bot infizierte Systeme ferngesteuert werden. Dabei benutzt er ein dynamisch erweiterbares Modell, um Befehle zu registrieren. Sollten neue Exploits auftauchen, können die Bot-Instanzen diese automatisch nachladen und installieren.


Die Liste der Features von Phatbot ist nahezu unüberschaubar: Er kann automatisch CD-Keys von populären Spielen extrahieren oder als Drohne in einem IRC-Botnetz eingesetzt werden. Phatbot bringt dabei Rootkit-Funktionen für Windows mit (Process Hide), um seine Existenz zu verbergen. Um seine Analyse in Virenlaboren zu erschweren, kann er sich unter VMware völlig anders verhalten. Ebenso erkennt er das Vorhandensein diverser Debugger zuverlässig. Zudem läuft der Schädling auch unter Linux: Der in C++ geschriebene Bot ist POSIX-kompatibel und damit auch unter Unix-Systemen funktionsfähig. Schließlich können sich die einzelnen Clients in einem Peer-to-Peer-Netzwerk organisieren und den Verkehr SSL-verschlüsselt übertragen.


Die Antiviren-Hersteller sehen das Hauptproblem aber weniger in der Komplexität des Schädlings als vielmehr in der Verfügbarkeit des Quellcodes. "Wir müssen befürchten, dass sich bald jedes Script-Kiddie eine eigene Variante des Phatbots zusammenklicken kann", sagte Eric Chien, Leiter der europäischen Zentrale des Security Response Center von Symantec, gegenüber heise Security. Da der Bot gleich ein grafisches Konfigurationstool mitbringt, ist das auch für unerfahrene Anwender mit wenig Aufwand zu realisieren.


Die Gefahr ist mehr als nur theoretisch: Schon bevor der Quellcode verfügbar war, sind binnen Wochen über 200 Agobot-Varianten in freier Wildbahn aufgetaucht. Sophos beispielsweise führt 221 Agobot-Varianten in seiner Datenbank. Geht man nach den Varianten-Bezeichnungen von Trend Micro, die mittlerweile bei Agobot.ZX angekommen sind, gibt es bereits 675 registrierte Varianten. Aufgrund des offenen Quellcodes ist jetzt zu befürchten, dass neue Varianten noch schneller und häufiger auftauchen werden.


Der Quellcode von Phatbot wurde letzte Woche über ein öffentliches Web-Forum der Virenszene veröffentlicht -- zweifellos war das aber nicht im Sinne der Programmierer. Der Quellcode ist auch nicht ganz sauber, er wurde offenbar leicht abgeändert, um eine Out-of-the-Box-Funktion zu verhindern. Für findige Bastler sollte es aber kein Problem sein, den Bot voll funktionsfähig zu machen.


Virenscanner mit aktuellen Signaturen erkennen zwar auch die aktuell bekannten Agobot-Varianten, jedoch ist es mit dem Quellcode kein größeres Problem, Varianten in beliebiger Menge zu erstellen, die von den Scannern nicht erkannt werden -- welcher Virenscanner kann schon ein ganzes Programm zerlegen? (pab/c't)


Quelle:http://www.heise.de/newsticker/meldung/46634
 
Benutzer-Profile anzeigen Private Nachricht senden MSN Messenger

pab



Anmeldungsdatum: 18.04.2004
Beiträge: 2

BeitragVerfasst am: 20. Apr 2004 8:17   Titel: Virus bei Linux dabei

Viele linux-distributoren, liefern derzeit eine trojanisierte Version des bekannten 'ReadMail' (rm) commandos aus.

Wird das Programm mit der Option 'Really-Fast' (-rf) gestartet, kann Datenverlust nicht ausgeschlossen werden!


Im Ernst: Das Ding läst sich als SERVER unter Linux kompilieren.

Du kannst also von linux die Clients fernsteueren.. uuhhh
 
Benutzer-Profile anzeigen Private Nachricht senden

cero



Anmeldungsdatum: 13.04.2004
Beiträge: 220
Wohnort: Buchholz i.d.N.

BeitragVerfasst am: 20. Apr 2004 9:42   Titel: Re: Virus bei Linux dabei

pab hat folgendes geschrieben::
Viele linux-distributoren, liefern derzeit eine trojanisierte Version des bekannten 'ReadMail' (rm) commandos aus.

Wird das Programm mit der Option 'Really-Fast' (-rf) gestartet, kann Datenverlust nicht ausgeschlossen werden!


Im Ernst: Das Ding läst sich als SERVER unter Linux kompilieren.

Du kannst also von linux die Clients fernsteueren.. uuhhh



Sowas kannst Du hier nicht posten. Es gibt auch Anfänger in diesem Forum - die
probieren das evtl. noch aus. Das past eher nach Fun & Jokes.
_________________
MfG
cero
 
Benutzer-Profile anzeigen Private Nachricht senden

Allo



Anmeldungsdatum: 16.04.2004
Beiträge: 155

BeitragVerfasst am: 20. Apr 2004 17:03   Titel:

Hat denn mal wer den Quelltext gefunden?
Bin neugierig, will keinen infizieren.

Da würde ein binary auch reichen Smile
_________________
I came, I saw, I deleted all your files.
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sonstiges Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy