Ein Bot geht andere Wege

Diskutiere Ein Bot geht andere Wege im IT-News Forum im Bereich IT-News; Anders als die üblichen Bots wird Nugache über P2P-Netze kontrolliert. Die Steuerung eines Botnets erfolgt meistens über einen IRC-Server...
#1
copy02

copy02

News Master
Threadstarter
Team
Dabei seit
11.02.2005
Beiträge
6.493
Alter
42
Ort
Im Wilden Nordwesten an der Nordsee
Anders als die üblichen Bots wird Nugache über P2P-Netze kontrolliert.

Die Steuerung eines Botnets erfolgt meistens über einen IRC-Server (Internet Relay Chat). Nun steht anscheinend eine neue Generation der Bots vor der Tür, die über dezentrale Strukturen kontrolliert werden. Das Internet Storm Center berichtet über einen neuen Schädling namens "Nugache", der seinen Weg zu potenziellen Opfern unter anderem über den AOL Instant Messenger (AIM) findet.

Nugache kann eine allem Anschein nach verschlüsselte Kommunikation mit seinem Herrn Meister über P2P-artige Wege aufrecht erhalten. Während ein Botnet, das über einen IRC-Server kontrolliert wird, nutzlos ist, sobald der betreffende IRC-Server dicht gemacht wird, bleibt ein P2P-gesteuertes Netzwerk aktiv, auch wenn einzelne Knoten ausfallen. Eine verschlüsselte Kommunikation erschwert obendrein die Erkennung und Analyse verdächtigen Datenverkehrs durch Netzwerksensoren. Die von Nugache verwendeteten Techniken sind weder neu noch sonderlich originell, könnten jedoch ein Zeichen dafür sein, dass die Botnet-Betreiber ihre Taktik ändern.

Nugache kann sich sowohl per Mail oder Instant Messenger als auch über Netzwerkfreigaben verbreiten. Auf verseuchten Rechnern befindet sich der Schädling in einer Datei namens "mstc.exe" im System32-Verzeishnis von Windows. Nugache hält den TCP-Port 8 offen und lauscht auf herein kommende Verbindungen. Die Firewall von Windows XP wird durch eine direkte Manipulation der Registry ruhig gestellt, indem Nugache sich eine Ausnahmeregel erstellt.

Die von Nugache verschickten Mails tragen einen Betreff wie "hey there", "iight", "k, here" oder "whats up" und enthalten einen Anhang mit dem Namen "attachment", "backup", "details", "documents" oder "forwarded", kombiniert mit der Endung "SCR" oder "SCP.SCQ.SCR". Zur Verbreitung im Netzwerk nutzt Nugache die Sicherheitslücken MS04-007 (ASN.1-Anfälligkeit) und MS04-011 (LSASS-Pufferüberlauf) aus.

Es wurden bislang mindesten vier verschiedene Varianten dieses Schädlings entdeckt. Mutmaßlich unterscheiden sie sich unter anderem in den enthaltenen IP-Adressen weiterer P2P-Knoten, zu denen sie Kontakt aufnehmen. Sie teilen sich diese IP-Adressen vermutlich auch gegenseitig mit.

Die Erkennung der bekannten Varianten durch Antivirus-Software hat seit Sonntag gute Fortschritte gemacht, der Name "Nugache" hat sich bislang allerdings nur teilweise durchsetzen können.

Quelle: IDG Magazine Verlag GmbH/PC-WELT
 
Thema:

Ein Bot geht andere Wege

Ein Bot geht andere Wege - Ähnliche Themen

  • Panne bei Facebook bot unerlaubten Zugriff auf Bilder - Wie kann man prüfen ob man betroffen ist?

    Panne bei Facebook bot unerlaubten Zugriff auf Bilder - Wie kann man prüfen ob man betroffen ist?: Facebook hatte es dieses Jahr nicht leicht und nach dem Skandal der quasi in Zusammenarbeit mit Cambridge Analytica entstand hat man nun im...
  • Wallpapers bot

    Wallpapers bot: Hallo Leute, mein Wallpapers Bot öffnet sich von heute auf morgen nicht mehr. Habe schon Neuinstallation versucht, geht nicht.
  • Bot - Hello Stranger Game

    Bot - Hello Stranger Game: Hallo liebe Gemeinde, da ich scheinbar durch Skype selbst keinen Support bekomme, stelle ich mein Problem hier dar und hoffe auf eine...
  • Auto IT

    Auto IT: Hallo, bin neu hier und schon hab ich eine Frage und zwar weis jemand wie man macht, wenn ja bräuchte ich code. :wacko Oder weis jemand wie...
  • Neuer Beta-Bot kann über das erlangen von Administrator-Rechten selbst Virenscanner deaktivieren

    Neuer Beta-Bot kann über das erlangen von Administrator-Rechten selbst Virenscanner deaktivieren: Hersteller von Antiviren-Software GData warnt derzeit vor einem neuen Schädling, namens Beta-Bot, welcher über gefälschte Windowsfehlermeldungen...
  • Ähnliche Themen

    Oben