zurück zum Artikel

Zu verhindern, dass ein einmal infizierter PC Updates und Informationen von AV-Herstellern aus dem Internet lädt, gehört schon fast zum Standardprogramm aktueller Schädlinge. Ein neuer Bagle-Wurm nutzt dafür Firewall-Funktionen.

Zu verhindern, dass ein einmal infizierter PC Updates und Informationen von AV-Herstellern aus dem Internet lädt, gehört schon fast zum Standardprogramm aktueller Schädlinge. F-Secure hat jetzt jedoch erstmals ein Exemplar entdeckt, das dies über richtige Firewall-Funktionen realisiert.

Normalerweise verhindern Viren die Verbindungen zu Update-Sites über Einträge in der hosts-Datei. Dort sorgt ein Eintrag wie beispielsweise

127.0.0.1 windowsupdate.microsoft.com

dafür, dass Verbindungsversuche mit der Windows-Update-Seite auf den lokalen Rechner umgeleitet werden, der sie nicht beantworten kann.

F-Secure hat bei der Analyse einer neuen Bagle-Variante festgestellt, dass dieser das Paketfilter-API von Windows nutzt, um Pakete an bestimmte Adressen auszufiltern. Auf der Liste der geblockten Sites finden sich wie üblich Adressen von Antiviren-Herstellern und diverse Microsoft-Server. Der von F-Secure als Fantibag.B bezeichnete Schädling realisiert dies über die Bibliothek firewall_anti.dll, die er im Windows-Verzeichnis ablegt und in den Adressraum des Internet Explorer einblendet (DLL-Injection).

Siehe dazu auch: (ju [1])

• Web-Log-Eintrag [2] von F-Secure
• Beschreibung von Bagle.bs aka Fantibag.B [3] von F-Secure

URL dieses Artikels:
https://www.heise.de/-112864

Links in diesem Artikel:
[1] mailto:ju@ct.de
[2] http://www.f-secure.com/weblog/#00000585
[3] http://www.f-secure.com/v-descs/fantibag_b.shtml

Copyright © 2005 Heise Medien