Facebook-Wurm mit Botnet-Client: Advisory
Heute morgen erhielt ich per Facebook eine Nachricht mit einem Link zu einem vermeintlichen Bild. Dass das Spam oder Malware ist, war mir natürlich sofort klar, aber als Debianer bin ich da ja jetzt nicht so sensibel und habe die Datei mal heruntergeladen. Und natürlich war es ein ausführbares Programm, genauer gesagt ein “Bildschirmschoner” mit der Endung .scr. Das ist unter Windows ja im Prinzip nur eine EXE mit speziellen Einstiegspunkten.
Ich habe das Teil dann mal analysiert und folgendes gefunden:
- Das Programm enthält eine ganze Menge unnützen Code zur Tarnung.
- Es lädt dann von www.ukseikatsu.com eine Datei namens /images/ok.exe nach und legt sie im Benutzerprofil unter einer zufälligen Nummer ab.
- Dieser Code entpackt dann eine weitere Datei namens winsvc.exe, die den eigentlichen Kern darstellt.
- winsvc.exe verbinedt sich zu 141.105.66.235 auf Port 5500. Das ist eigentlich der VNC-Port, deshalb interessiert das die meisten Personal Firewalls nicht. In Wirklichkeit lauscht da aber ein IRC-Server.
- Der IRC-Server ist die Kontrollzentrale eines Botnets, zu dem der Client dann gehört.
- Das ist ein kleiens Programm, das dann Schadsoftware auf eurem Rechner installiert.
- Diese Schadsoftware öffnet euren Rechner einer Hackergruppe, die mit eurem Rechner dann z.B. Spam an andere verschickt oder andere Systeme angreift.
- Die Software kann theoretisch alles mit eurem Rechner machen, das ihr auch damit machen könnt. Also Dateien lesen und schreiben, E-Mails versenden, … vor allem auch euren Browser fernsteuern und sich an eure Facebook-Kontakte weiter versenden
Ich habe die Bedrohung mitsamt meiner Analyse und den nötigen Samples an Heise Security gesendet, die das hoffentlich an die richtigen Stellen weitergeben werden. Das Archiv findet sich hier (ACHTUNG, Malware !).
Fürs Erste habe ich ein kleines Batch-Skript als Removal-Tool geschrieben. Es funktioniert unter einem neuen Windows XP, alles andere kann ich nicht beurteilen: Download (Rechtsklick -> Ziel speichern unter – das muss als .cmd-Datei gespeichert und ausgeführt werden).
Um so einen Mist in Zukunft zu verhindern: Klickt in drei Teufels Namen nicht immer jeden Scheiß an!
Linux-User sind übrigens sicher.
Update: Abuse complaint an Rusconnect, den Provider bei dem der IRC-Server läuft, ist raus.
Update 2: Dominic hat auf meinen Auftrag hin eine ausführbare Version (in Tcl) gebaut. Wir haben den Wurm Paul getauft und paul-removal.exe sollte jetzt auch unter Windows Vista und Windows 7 funktionieren. Hier ist alles gesammelt.
