Befreiung von IRC-Bots durch DNS-Umleitung
Einer der größten Internet-Service-Provider in den USA nutzt offenbar seine Nameserver, um Zugriffe auf IRC-Bot-Channels auf eigene Server umzulenken. Dort läuft ein Skript, das infizierte PCs von Bots befreien soll.
- Daniel Bachfeld
Cox Communications, einer der größten Internet-Provider in den USA, nutzt offenbar seine Nameserver, um Zugriffe auf IRC-Bot-Channels auf eigene Server umzulenken. Dort läuft ein Skript, das infizierte PCs von Bots befreien soll. IRC-Bots sind Schädlinge, die sich von einem infizierten PC aus mit einem IRC-Server in einen Channel verbinden und von dort weitere Befehle entgegennehmen. Im Befehlssatz sind in der Regel auch Kommandos zum Entfernen des Bots von einem Rechner vorhanden.
Andrew Matthews von Merit Network Inc, einer US-Schulungseinrichtungon, hat die Umleitung beobachtet und dokumentiert. Kontaktversuche mit irc.mzima.net (216.193.223.223) werden von Cox-Nameservern aufgelöst (ns1.lv.cox.net, ns1.sd.cox.net oder ns1.dc.cox.net) und auf einen Cox-Server umgeleitet (70.168.70.4), der diverse Befehle an den Bot bei der Kontaktaufnahmen durchprobiert, um den Bot vom Rechner zu deinstallieren.
#martian_
[INFO] Channel view for "#martian_" opened.
-->| YOU (andrew.m) have joined #martian_
=-= Mode #martian_ +nt by localhost.localdomain
=-= Topic for #martian_ is ".bot.remove"
=-= Topic for #martian_ was set by Marvin_ on Sunday, July 22, 2007 2:55:02 PM
=-= Topic for #martian_ is ".remove"
=-= Topic for #martian_ was set by Marvin_ on Sunday, July 22, 2007 2:55:02 PM
=-= Topic for #martian_ is ".uninstall"
=-= Topic for #martian_ was set by Marvin_ on Sunday, July 22, 2007 2:55:02 PM
=-= Topic for #martian_ is "!bot.remove"
=-= Topic for #martian_ was set by Marvin_ on Sunday, July 22, 2007 2:55:02 PM
=-= Topic for #martian_ is "!remove"
=-= Topic for #martian_ was set by Marvin_ on Sunday, July 22, 2007 2:55:02 PM
=-= Topic for #martian_ is "!uninstall"
=-= Topic for #martian_ was set by Marvin_ on Sunday, July 22, 2007 2:55:02 PM
<Marvin_> .bot.remove
<Marvin_> .remove
<Marvin_> .uninstall
<Marvin_> !bot.remove
<Marvin_> !remove
Andere unabhängige Berichte dokumentieren ähnliche Beobachtungen über derartige Umleitungen im Cox-Netz. Zudem soll Cox nicht der einzige Provider sein, der auf Bot-Cleaning-Server umleitet. Auch TimeWarner/Road Runner/AOL soll einem Posting auf Full Disclosure zufolge Verbindungsversuche auf irc.ablenet.org auf einen derartigen Server umgeleitet haben.
Ob die Bereinigungsversuche von Erfolg gekrönt waren, ist unklar. Moderne IRC-Bots verlangen zuvor eine Authentifizierung durch den Master, bevor sie Befehle entgegennehmen. In solchen Fällen funktioniert die beschriebene Methode nicht. (dab)
