W32.Spybot.WON

1. Kopiert sich selbst als %Windir%\wordpad.exe.
   
   Hinweis: %Windir% ist eine Variable und bezieht sich auf den Windows-Installationsordner. In der Regel ist dies C:\Windows oder C:\Winnt.
   
   
2. Legt den folgenden Treiber ab, der den "System"-Prozess infiziert, und hakt "ZwDeviceIoControlFile" ein. Wenn der Virusprozessss "wordpad.exe" beendet wird, startet die Rootkit-Routine "wordpad.exe" neu:
   
   %System%\orans.sys
   
   Hinweis: %System% ist eine Variable und bezieht sich auf den Systemordner. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).
   
   
3. Erstellt einen Dienst mit den folgenden Eigenschaften:
   
   Dienstname: wordpad
   Anzeige-Name: wordpad
   
   
4. Erstellt einen Dienst mit den folgenden Eigenschaften:
   
   Dienstname: orans
   Anzeige-Name: orans
   
   
5. Beim Erstellen der oben genannten Dienste werden die folgenden Registrierungsunterschlüssel erstellt:
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ORANS
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WORDPAD
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\orans
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wordpad
   
   
6. Ändert die Werte:
   
   "FirewallDisableNotify" = "1"
   "UpdatesDisableNotify" = "1"
   "AntiVirusDisableNotify" = "1"
   "FirewallOverride"  = "1"
   "AntiVirusOverride" = "1"
   
   in den Registrierungsunterschlüsseln:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
   
   Dadurch werden Windows-Sicherheitsfunktionen deaktiviert.
   
   
7. Ändert den Wert:
   
   "WaitToKillServiceTimeout" = "7000"
   
   im Registrierungsunterschlüssel:
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
   
   
8. Ändert den Wert:
   
   "AUOptions" = "1"
   
   im Registrierungsunterschlüssel:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
   WindowsUpdate\Auto Update
   
   Dadurch wird das Automatische Update deaktiviert.
   
   
9. Ändert den Wert:
   
   " DoN otAllowXPSP2" = "1"
   
   im Registrierungsunterschlüssel:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   
   Dadurch wird die Installation von Windows XP Service Pack 2 auf dem infizierten Computer verhindert.
   
   
10. Ändert den Wert:
    
    "EnableFirewall" = "0"
    
    in den Registrierungsunterschlüsseln:
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
    StandardProfile
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
    DomainProfile
    
    Dadurch wird die Firewall deaktiviert.
    
    
11. Ändert den Wert:
    
    "EnableDCOM" = "N"
    
    im Registrierungsunterschlüssel:
    
    HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
    
    Dadurch wird DCOM deaktiviert.
    
    
12. Ändert den Wert:
    
    "restrictanonymous" = "1"
    
    im Registrierungsunterschlüssel:
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    
    Dadurch wird anonymer Zugriff auf Netzwerkfreigaben eingeschränkt.
    
    
13. Ändert den Wert:
    
    "Start" = "4"
    
    den folgenden Registrierungsunterschlüsseln hinzu:
    
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
    
    
    
14. Öffnet eine Hintertür durch Herstellen einer Verbindung zu einem IRC-Server auf einer der folgenden Domänen über die TCP-Ports 889 oder 19899:
    
    
    • 0x80.online-secured.com
    • 0x80.online-animal.com
    • exploited.lsass.org
      
      
15. Führt möglicherweise die folgenden Aktionen durch, wenn erfolgreich eine Verbindung zum entfernten Angreifer hergestellt wird:
    
    
    • Threads und Prozesse starten und beenden
    • Einen SOCKS4-Server starten
    • Shell-Befehle ausführen
    • Die IE-Startseite ändern
    • DNS- und ARP-Cache leeren
    • Kennwörter aus dem geschützten Speicher stehlen
    • Dateien öffnen und löschen
    • Entfernte Dateien herunterladen
    • Denial-of-Service-Angriffe durchführen
    • Registrierungsschlüssel anzeigen und löschen
    • Systemdaten abrufen, z. B.: CPU-Typ, Version des Betriebssystems, RAM
      
      
16. Verbreitet sich auf andere Computer durch Ausnutzen der folgenden Schwachstellen:
    
    
    • Die Microsoft Windows-Plug-and-Play-Pufferüberlauf (beschrieben im Microsoft Security Bulletin MS05-039) über TCP-Port 445.
    • Die Microsoft Windows-DCOM RPC-Schnittstellenpufferüberlaufschwachstelle (beschrieben im Microsoft Security Bulletin MS03-026) über die TCP-Ports 135 und 445.
    • Der Microsoft Windows-LSASS-Remote-Pufferüberlauf (beschrieben im Microsoft Security Bulletin MS04-011) über TCP-Ports 445.
    • Die Arbeitsstationsdienst-Pufferüberlaufschwachstelle (beschrieben im Microsoft Security Bulletin MS03-049) über einen der folgenden TCP- oder UDP-Ports: 138, 139, 445.

Empfehlungen

Symantec Security Response empfiehlt allen Benutzern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:

• Beenden und entfernen Sie alle nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht unbedingt erforderlich sind, z. B. FTP-Server, Telnet und Web-Server. Diese Dienste öffnen Angreifern Tür und Tor. Durch ihr Entfernen wird die Angriffsfläche für komplexe Bedrohungen reduziert, und Sie müssen weniger Programme mit Patch-Updates auf dem neuesten Stand halten.
• Wenn eine komplexe Bedrohung einen oder mehrere Netzwerkdienste angreift, deaktivieren oder sperren Sie diese so lange, bis ein entsprechender Patch installiert wurde.
• Halten Sie Ihre Patches immer auf dem neuesten Stand, insbesondere auf Computern, auf denen öffentliche Dienste installiert sind und auf die über die Firewall zugegriffen werden kann (z. B. auf HTTP-, FTP-, E-Mail- und DNS-Dienste). So sollte beispielsweise auf allen Windows-basierten Computern das aktuellste Service Pack installiert sein. Darüber hinaus sollten Sie alle in diesem Dokument, in vertrauenswürdigen Sicherheitsmitteilungen oder auf den Webseiten der Hersteller erwähnten Sicherheits-Updates installieren.
• Erstellen Sie eine Kennwortrichtlinie und sorgen Sie für ihre Durchsetzung. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf Computern, deren Sicherheit nicht mehr intakt ist. Dadurch können Schäden verhindert oder begrenzt werden, wenn ein Computer angegriffen wurde.
• Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails mit Dateianhängen, über die häufig Viren verbreitet werden (z. B. Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr), blockiert oder entfernt werden.
• Isolieren Sie infizierte Computer schnellstmöglich, um weitere Schäden zu verhindern. Führen Sie eine forensische Analyse durch, und reparieren Sie die Computer mithilfe zuverlässiger Medien.
• Schulen Sie Ihre Mitarbeiter, so dass sie keine Anhänge öffnen, die unaufgefordert eingesendet werden. Führen Sie außerdem keine aus dem Internet heruntergeladene Software aus, die zuvor nicht auf Viren geprüft wurde. Schon allein der Besuch einer infizierten Internet-Seite kann zu einer Infektion führen, wenn bestimmte Browser-Schwachstellen nicht behoben werden.