Superwurm mit öffentlichem Quelltext

Mit Sorge sehen Antivirus-Unternehmen auf den veröffentlichten Quellcode eines neuen Schädlingstyps: Phatbot kombiniert Exploits für nahezu alle bekannten Sicherheitslücken, kann Rechner übernehmen und für beliebige Zwecke missbrauchen.

In Pocket speichern vorlesen Druckansicht 815 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Patrick Brauch

Phatbot ist der Nachfolger zu Agobot, ein Schädling mit äußerst komplexen Funktionen. Er kann Rechner übernehmen und für quasi beliebige Zwecke missbrauchen. Phatbot kann in fremde Rechner über bekannte Sicherheitslücken wie die Windows RPC-Lücke eindringen, um Systeme ohne Zutun des Anwenders zu infizieren, sofern keine entsprechenden Sicherheitspatches installiert sind. Besonders problematisch: Der Quellcode wurde über ein Web-Forum veröffentlicht und steht zum Download zur Verfügung.

Im Grunde kombiniert Phatbot alle typischen Funktionen aus vergangenen Schädlingen: Er verbreitet sich nicht nur über herkömmliche Verbreitungswege wie Netzwerkfreigaben, sondern vermag ebenso nach Hintertüren von den Mail-Würmern MyDoom und Bagle sowie dem Trojaner-Toolkit Optix Pro zu suchen, um anfällige Rechner darüber zu infizieren. Über einen umfangreichen Befehlssatz können durch den Bot infizierte Systeme ferngesteuert werden. Dabei benutzt er ein dynamisch erweiterbares Modell, um Befehle zu registrieren. Sollten neue Exploits auftauchen, können die Bot-Instanzen diese automatisch nachladen und installieren.

Die Liste der Features von Phatbot ist nahezu unüberschaubar: Er kann automatisch CD-Keys von populären Spielen extrahieren oder als Drohne in einem IRC-Botnetz eingesetzt werden. Phatbot bringt dabei Rootkit-Funktionen für Windows mit (Process Hide), um seine Existenz zu verbergen. Um seine Analyse in Virenlaboren zu erschweren, kann er sich unter VMware völlig anders verhalten. Ebenso erkennt er das Vorhandensein diverser Debugger zuverlässig. Zudem läuft der Schädling auch unter Linux: Der in C++ geschriebene Bot ist POSIX-kompatibel und damit auch unter Unix-Systemen funktionsfähig. Schließlich können sich die einzelnen Clients in einem Peer-to-Peer-Netzwerk organisieren und den Verkehr SSL-verschlüsselt übertragen.

Die Antiviren-Hersteller sehen das Hauptproblem aber weniger in der Komplexität des Schädlings als vielmehr in der Verfügbarkeit des Quellcodes. "Wir müssen befürchten, dass sich bald jedes Script-Kiddie eine eigene Variante des Phatbots zusammenklicken kann", sagte Eric Chien, Leiter der europäischen Zentrale des Security Response Center von Symantec, gegenüber heise Security. Da der Bot gleich ein grafisches Konfigurationstool mitbringt, ist das auch für unerfahrene Anwender mit wenig Aufwand zu realisieren.

Die Gefahr ist mehr als nur theoretisch: Schon bevor der Quellcode verfügbar war, sind binnen Wochen über 200 Agobot-Varianten in freier Wildbahn aufgetaucht. Sophos beispielsweise führt 221 Agobot-Varianten in seiner Datenbank. Geht man nach den Varianten-Bezeichnungen von Trend Micro, die mittlerweile bei Agobot.ZX angekommen sind, gibt es bereits 675 registrierte Varianten. Aufgrund des offenen Quellcodes ist jetzt zu befürchten, dass neue Varianten noch schneller und häufiger auftauchen werden.

Der Quellcode von Phatbot wurde letzte Woche über ein öffentliches Web-Forum der Virenszene veröffentlicht -- zweifellos war das aber nicht im Sinne der Programmierer. Der Quellcode ist auch nicht ganz sauber, er wurde offenbar leicht abgeändert, um eine Out-of-the-Box-Funktion zu verhindern. Für findige Bastler wird es aber kein Problem sein, den Bot voll funktionsfähig zu machen.

Virenscanner mit aktuellen Signaturen erkennen zwar auch die aktuell bekannten Agobot-Varianten, jedoch ist es mit dem Quellcode kein größeres Problem, Varianten in beliebiger Menge zu erstellen, die von den Scannern nicht erkannt werden -- welcher Virenscanner kann schon ein ganzes Programm zerlegen? (pab)