Wurm mit eingebautem DHCP-Server

Eine Variante des Rootkits Alureon ist neuerdings in der Lage, sich selbst über lokale Netzwerke und Wechselmedien zu verbreiten, wie aus einem Blog-Eintrag der Kaspersky Labs hervorgeht.

Zum Vervielfältigen über Wechselmedien schreibt der Wurm (Net-Worm.Win32.Rorpian), der auch unter TDSS und TDL4 firmiert, darauf die Dateien setup.lnk, myporno.avi.lnk, pornmovs.lnk und autorun.inf mit Links auf seinen Code.

Wenn der Wurm sich übers Netzwerk fortpflanzen will, versucht er zunächst einen DHCP-Server zu finden. Danach ermittelt er, welche IP-Adressen der Server im Pool übrig hat und startet selbst einen. Anfragen von Clients versucht er noch vor dem regulären DHCP-Server zu beantworten. Wenn das gelingt, erhält der Client eine IP-Adresse aus dem zuvor ermittelten Kontingent und – das ist der gemeine Trick – als DNS-Server den eines Rechners zugewiesen, der unter der Kontrolle der Angreifer steht. Damit können die Kriminellen jede DNS-Anfrage mit beliebigen IP-Adressen auflösen.

Steuert der Nutzer nun am so infizierten Computer eine Webseite an, erscheint in Folge der Umlenkung auf die IP-Adresse eines bösartigen Webservers stets eine Seite im Browser, die ihn zum Installieren eines "Updates" auffordert. Dahinter verbirgt sich wiederum der Wurm, womit das Spiel von vorne beginnen kann.

Diese Fortpflanzungsmethode ist zwar besonders hinterlistig, aber nicht ganz neu. Bereits Ende 2008 machte der Schädling DNSChanger mit einem vergleichbaren Verfahren von sich reden. (ola)