Sasser: Phatbot als blinder Passagier
Neue Phatbot-Varianten verbreiten sich mit einem neuen Trick: Sie benutzen den Sasser-Wurm als Transportmittel, um neue Rechner zu infizieren.
Dass Phatbot zur Verbreitung unter anderem Hintertüren von Schädlingen wie Bagle oder MyDoom nutzt, ist bekannt. Findet Phatbot einen solchen Schädling, wird er normalerweise gelöscht und die Hintertür geschlossen, sodass darüber keine weiteren Viren den Rechner infizieren können. Anders geht Phatbot beim Sasser-Wurm vor: Anstatt den Schädling zu entfernen und durch Phatbot zu ersetzen, modifiziert Phatbot den aktiven Sasser-Schädling für seine eigenen Zwecke.
Bei Neuinfektion eines Rechners durchsucht Phatbot das System zunächst nach dem Sasser-Wurm. Findet er einen, so modifiziert Phatbot den Sasser-Prozess und protokolliert alle IP-Adressen, an die sich der Sasser-Wurm weiterverschickt. Die Phatbot-Instanz folgt diesen Verbindungen dann einfach und installiert sich auf den neu befallenen Rechnern.
Eine solche Infektion lässt sich daran erkennen, dass die Datei "wormride.dll" im Windows-Systemverzeichnis existiert. Sie ist offenbar dafür zuständig, die über die Sasser-Verbreitung neu infizierten Hosts mit Phatbot-Instanzen zu versorgen. Wer eine solche Datei auf seinem Rechner findet, kann davon ausgehen, dass er sowohl mit Sasser als auch Phatbot infiziert ist.
Als Schutz vor Sasser und Phatbot sollten alle Windows-Anwender die jüngsten Microsoft-Patches sowie einen Virenscanner mit aktuellen Signaturen installieren. Weiterhin empfiehlt sich eine Personal Firewall zur Überwachung von ein- und ausgehendem Netzverkehr. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security.
Siehe dazu auch: (pab)
- Superwurm mit öffentlichem Quelltext auf heise Security
- Informationen zum Schutz vor Sasser" auf heise Security
- Übersicht der April-Patches von Microsoft
