Aktuelles > News > 
Deutsch
10.05.2007 20:28 Alter: 10 Jahre
Kategorie: FeM - Technik
Von: THamTHon

Auf der Suche nach Viren im FeM-Net


Computerviren sind ein großes Problem im Internet und machen natürlich auch nicht vor dem FeM-Net halt. Die Unbedarftheit von zahlreichen Nutzern des FeM-Net und die hohe Geschwindigkeit der einzelnen Internetanschlüsse trägt zu dieser Problematik noch bei. Aus diesem Grund besitzt die FeM e.V. seit Oktober 2003 ein spezielles Anti-Viren Team, welches sich zur Aufgabe gemacht hat, die Verbreitung von Viren, Würmer, Trojaner und Malware im FeM-Net zu unterbinden. Das Anti-Viren Team wird in der Regel bei Beschwerden über "Virenschleudern" aktiv. In diesem Fall werden die betroffenen Nutzer über die mögliche Infektion ihres Rechners informiert und beraten, wie die Infektion behoben werden kann und in Zukunft verhindert werden kann.

Seit kurzem betreiben wir aber auch wieder einen sogenannten Honeypot. Dieser "Honigtopf" stellt sich als normaler Rechner im Netzwerk dar. Im Unterschied zu normalen Rechnern hat dieser Rechner aber lediglich das Ziel Angriffe durch Viren anzulocken und zu protokollieren. Auf diese Weise wollen wir selbständig Rechner im FeM-Net finden, die mit Viren infiziert sind. Im folgenden Artikel beschreibt der Administrator des Rechners, Daniel "moep" Tschada, wie er direkt nach Inbetriebnahme des Systems einen bisher unbekannten Virus, der sich im FeM-Net verbreitet hat, entdeckt.

Bericht von Moep

Zur Unterstützung des Anti-Viren Teams habe ich in der vorlesungsfreien Zeit einen Honeypot [1] auf einem Server im FeM-Net installiert. Zum Einsatz kommt hierbei Nepenthes [2], welches unter Debian Etch läuft.
Dabei simuliert der Honeypot ein System mit verschiedenen Schwachstellen (z.B. diverse Windows-Sicherheitslücken, VNC Bypass, ...) und präsentiert sich dem Angreifer scheinbar auf dem Silbertablett. Falls es nun zu einem Angriff kommt, speichert Nepenthes die ausgeführten Befehle und Dateien, die nachgeladen werden, und stellt diese zur Analyse bereit.
Der FeM Honeypot lief noch nicht mal eine Stunde und schon fand ich etwas in den Logfiles:


[2007-04-04T15:55:35] 141.24.*. -> 141.24.*. ftp://a:a@141.24.*.:7959/w4jhgfgk.exe
[2007-04-04T15:57:39] 141.24.*. -> 141.24.*. ftp://a:a@141.24.*.:17353/w4jhgfgk.exe


Gegen 03:00 Uhr waren es dann neun verschiedene Rechner die betroffen waren. Es bestand also dringend Handlungsbedarf.

Ich begann meine Suche bei der großen Suchmaschine meines Vertrauens, allerdings waren die Ergebnisse recht dürftig. Also war Eigeninitiative gefragt:

Zuerst versuchte ich mein Glück bei einem Onlinemalewarescanner. Dort wurde die Datei erwartungsgemäß als Malware eingestuft. [3]
Gut - nun war ich etwas schlauer, das reichte mir aber noch nicht und mein Eifer war angestachelt.
Ich sendete die Datei bei Avira ein und setzte mir zugleich Virtual Box auf, um dort Windows XP und Whireshark installieren zu können und den Netzwerkdatenverkehr genauer analysieren zu können.

Gesagt, getan und die w4jhgfgk.exe gestartet. Zuerst installiert die Datei eine andere Datei nach, welche von einem Webserver gedownloaded wird, dann verbindet sich die Datei in verschiedene IRC Netzwerke. In der Nacht waren es noch sechs verschiedene, am Tag nur noch zwei Stück.
Also habe ich meinen IRC Client aufgemacht, auf die IRC Server verbunden und dort den Channel betreten, wo ich die Bots vermutet hatte.
Screenshot des IRC-Channels
Wie man erkennen kann, war der Bot Owner offenbar nicht begeistert und ist inklusive seiner Bots aus dem Channel verschwunden.
Bei einer weiteren Analyse des Datenverkehrs fiel mir auf, dass sich das Programm auch noch in ein anderes IRC Netzwerk verbindet
Screenshot des Netzwerkverkehrs
und dort Text an den Channel sendet. Dies sah dann so aus:
Screenshot des IRC-Channels
Wie man leicht erkennen kann, öffnet die Datei auf dem infizierten Rechner einen FTP Server auf einem zufällig gewählten Port. Mehr konnte ich zu dem Zeitpunkt erst mal nicht machen und legte mich erst einmal schlafen.

Nach dem Aufstehen hatte ich eine E-Mail von Avira im Posteingang, in der mir mitgeteilt wurde, dass Avira dem Programm den Namen "Worm/Wootbot.DA.4" gegeben hat und ihrem Virenscanner entsprechende Erkennungsmuster hinzugefügt hat. [4]
Nun musste ich nur noch dafür sorgen, dass die infizierten Rechner keinen Schaden mehr anrichten können.
Dazu setzte ich die betroffenen User ins Viren-VLAN und benachrichtigte die anderen Admins und das Anti-Viren-Team. Das Viren-VLAN ist ein spezieller Quarantäne-Bereich des FeM-Net in den virenversuchte Rechner gesteckt werden. Von hier aus können die Rechner nur noch stark eingeschränkt auf das Netz zugreifen - zum Beispiel um Updates für ihren Virenscanner oder das Betriebssystem herunterzuladen und Kontakt mit dem Anti-Virenteam aufzunehmen.
Nach erfolgreicher Vernichtung des Schadprogramms und Überprüfung durch die Leute vom Anti-Viren Team bekommen die Betroffenen wieder ihren vollen Zugang.

Bei Fragen, Wünsche, Diskussionen ... etc. stehe ich gerne zur Verfügung.

Daniel „moep“ Tschada

[1] de.wikipedia.org/wiki/Honeypot
[2] nepenthes.mwcollect.org
[3] fileinfo.prevx.com/fileinfo.asp
[4] analysis.avira.com/samples/details.php