Neuerdings ist eine Variante des Rootkits Alureon in der Lage, sich selbst über lokale Netzwerke und Wechselmedien zu verbreiten, wie aus einem Blog-Eintrag der Kaspersky Labs hervorgeht.

Der Wurm (Net-Worm.Win32.Rorpian), der auch unter TDSS und TDL4 firmiert, schreibt zum Vervielfältigen über Wechselmedien darauf die Dateien setup.lnk, myporno.avi.lnk, pornmovs.lnk und autorun.inf mit Links auf seinen Code.

Will der Wurm sich übers Netzwerk fortpflanzen, versucht er zunächst einen DHCP-Server zu finden. Dann ermittelt er, welche IP-Adressen der Server im Pool übrig hat und startet selbst einen DHCP-Server. Danach versucht er Clientanfragen noch vor dem regulären DHCP-Server zu beantworten. Wenn das gelingt, erhält der Client eine IP-Adresse aus dem zuvor ermittelten Kontingent und als DNS-Server den eines Rechners zugewiesen, der unter der Kontrolle der Angreifer steht. Jede DNS-Anfrage können die Kriminellen damit mit beliebigen IP-Adressen auflösen.

Nun steuert der Nutzer am so infizierten Computer eine Webseite an, erscheint in Folge der Umlenkung auf die IP-Adresse eines bösartigen Webservers eine Seite im Browser, die ihn zum Installieren eines Updates auffordert. Dahinter wiederum verbirgt sich der Wurm, womit das Spiel von vorne beginnen kann.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE