Agobot: Neuer Superwurm aufgetaucht

[American]

In einem frei zugänglichen Forum ist der Quelltext eines neuen "Superwurms" veröffentlicht wurden. Agobot, so der Name des Wurms, nutzt zahlreiche Sicherheitslücken aus und setzt die so unter Kontrolle gebrachten Rechner zu unterschiedlichen Zwecken ein.

Neben der Suche nach CD-Keys zu Spielen werden die Rechner als IRC-Drohne verwendet. Um die Arbeit der Virenspezialisten zu erschweren, verhält er sich unter VMWare vollkommen anders als bei einem normalen Betriebssystem.

Durch die freie Zugänglichkeit des Quellcodes existieren schon mehrere hundert Varianten - laut Trend Micro bereits 675. Was den Wurm ebenfalls auszeichnet ist seine Eigenschaft auch unter Linux zu funktionieren. Last but not least können sich die unter Kontrolle gebrachten Rechner in einem eigenen P2P-Netzwerk organisieren und mittels SSL-Verschlüsselung miteinander kommunizieren.

weitere Infos: Klick (http://vil.nai.com/vil/content/v_101100.htm)

Quelle: Winfuture (http://www.winfuture.de/news,14208.html)

[MBurger]

Was ich besonders schick finde, ist, dass der Virus direkt eine Gui mitbringt, so dass man ihn "nach Bedauf" anpassen kann - außerdem hat er noch eine Art Plug-In/Update-Schnittstelle, so dass Sicherheitslücken, die derzeit noch nicht bekannt sind nachgeladen werden können. Außerdem hat beherrscht er "Process Hide", so dass er für normale User (nicht Admin) nicht zu sehen ist.

Gruß Moritz

[skyline]

Ob der nun besonders schick ist, weil er eine Gui  (Grafische Oberfläche) hat die verborgen werden kann.

Afaik gibt es dafür auch einfache tools.  

Aus  den Infos links ..der Wurm nutzt genauso wie der Blaster die => RPC sicherheitlücke

http://www.f-secure.de/v-descs/agobot.shtml

Für Windows 2000 und XP Surfer ist es wohl eine Üblegung wert den Dienst zu deaktivieren.

http://www.hradetzkys.de/pcweb_sicherrpc.php?style=pcweb

mfg Skyline

[MBurger]

Nein - das siehst du glaube ich etwas Falsch:
Der Virus (es ist kein meiner Ansicht nach kein Wurm) bringt ein Konfigurationstool mit, mit dem du dir deine eigene Version zusammenklicken und auf die Windows-Welt loslassen kannst. Er kann über nahezu alle derzeit bekannten Sicherheitslücken einsteigen und man kann ohne großen Aufwand "Updates" des Virus erstellen, sobald neue Sicherheitslücken auftauchen,  damit er diese auch noch ausnutzen kann - so verstehe ich jedenfalls den Heise-Artikel.

Gruß Moritz

[skyline]

@Mortiz war dieser Artiel gemeint?

http://www.heise.de/security/news/meldung/46634

Phatbot ist der Nachfolger zu Agobot, ein Schädling mit äußerst komplexen Funktionen. Er kann Rechner übernehmen und für quasi beliebige Zwecke missbrauchen. Phatbot kann in fremde Rechner über bekannte Sicherheitslücken wie die Windows RPC-Lücke eindringen, um Systeme ohne Zutun des Anwenders zu infizieren, sofern keine entsprechenden Sicherheitspatches installiert sind.

wird wie beim Blaster sein nutzt die RPC-Lücke der  Blaster konnte z. B. Windows 98 nichts anhaben (kein RPC)
denke mal das es bei Phatbot + Agobot genauso ist.

Er kann über nahezu alle derzeit bekannten Sicherheitslücken einsteigen und man kann ohne großen Aufwand "Updates" des Virus erstellen, sobald neue Sicherheitslücken auftauchen,  damit er diese auch noch ausnutzen kann

Halte ich z. T.  für Panikmache , sonst wäre der Schädling (Virus oder Wurm)  schon stärker verbreitet.

Das bisher einzigartige an dem Virus  scheint zu sein, dass er  anscheinend eine (zu) harte Nuss für die Virenscanner ist.  

mfg Skyline

[MBurger]

Ja, den Text meinte ich - und da steht deutlich, dass der Virus auch über andere Lücken einsteigen kann, RPC wird nur als Beispiel gebracht.

Gruß Moritz

[Steff K.]

Experten von SANS Institute warnen vor dem Internet-Wurm "Phatbot". Die Weiterentwicklung eines im März unter der Bezeichnung "Agobot" alias "Gaobot" aufgetauchten Schädlings (Computerwoche.de berichtete) infiziert Rechner über bekannte Sicherheitslücken, zum Beispiel Fehler im RPC-Protokoll (Computerwoche.de berichtete).

Weitere Verbreitungswege sind Hintertüren, die andere Würmer wie "Bagle" oder MyDoom" geöffnet haben, die TCP-Ports 2745, 1025, 3127, 6129, 5000, 80 und das Microsoft-Protokoll NetBios.

Phatbot basiert auf P2P-Technologie (Peer to Peer), über die er infizierte Rechner vernetzt und zum Beispiel zum Versand von Spam-Mails oder für DDoS-Attacken (Distributed Denial of Service) nutzt. Die "Bot"-Technik lässt sich den Experten zufolge ferngesteuert um nahezu beliebige Funktionen erweitern, so dass der Wurm unter anderem Passwörter ausspionieren, E-Mail-Adressen sammeln oder Schadroutinen ausführen kann.

Laut Marcus Sachs, Director des Internet Storm Center bei SANS, verändert sich der Schädling täglich. Außerdem sei eine Variante aufgetaucht, die versucht, über den Port 1981 in Rechner einzudringen. Mit weiteren Phatbot-Versionen sei zu rechnen, da der Quellcode bereits im Internet aufgetaucht ist.

Quelle: Computerwoche

[Steff K.]

Ausserdem heißt es auf anderen Experten Seiten, Virenscanner mit aktuellen Signaturen erkennen zwar auch die aktuell bekannten Agobot-Varianten, jedoch ist es mit dem Quellcode kein größeres Problem, Varianten in beliebiger Menge zu erstellen, die von den Scannern nicht erkannt werden -- welcher Virenscanner kann schon ein ganzes Programm zerlegen?

Hab ne Mail an Antivir geschickt und bin gespannt was die darüber wissen.

Gruß

Steff K.

[Steff K.]

Hier ist ein ftp link. Sophos hat wohl für eine Hochschule die befallen war, diese Virenerkennung erstellt.
Also falls jemand das Biest fängt, hoffen ich der Link ist brauchbar.



ftp://ftp.uni-kassel.de/pub/uni-kassel/hrz/downloads/agobotii

[Steff K.]

Hallo nochmal.
Nö also der uni link is dreck also ignorieren und folgenden verwenden:

http://www.sophos.de/downloads/ide/


Greetz

Steff K.