Internet-Wurm baut neue Botnets auf

Der Internet-Wurm Win32.HLLW.Shoadow.based bedroht zurzeit Rechner, die mit einem Betriebssystemen zwischen Windows 2000 und Windows 7 laufen. Wie das russische Security-Unternehmen Doctor Web berichtet, wurde das schädliche Programm entwickelt, um neue Botnets aufzubauen. Der aktive Wurm versuche, ausführbare Dateien von bestimmten Servern herunterzuladen.

Zum einen verbreitet sich Win32.HLLW.Shadow.based über Wechseldatenträger oder Netzwerk-Laufwerke. Der Wurm legt die schädliche Datei unter einem Zufallsnamen in einem Ordner ab. Nach Angaben des Unternehmens wird die Datei durch den Windows-Papierkorb getarnt, sodass sie häufig unbemerkt bleibt. Alternativ kann sich der Wurm auch über das SMB-Protokoll verbreiten und einen Remote-Zugriff auf den Zielrechner bekommen. Das schädliche Programm wird dann in das System-Verzeichnis des angegriffenen Computers gespeichert. Eine dort erstellte Anwendung wird dann zu einem bestimmten Zeitpunkt ausgeführt.

Nutzt der Wurm die im Microsoft-Security-Bulletin-MS08-067 beschriebenen Sicherheitslücken von Windows, löst er einen Buffer Overflow aus und der angegriffene Rechner lädt eine infizierte Datei über HTTP. Die Verhaltensweisen des Wurms sind unterschiedlich. Wie Doctor Web berichtete, kann sich Win32.HLLW.Shadow in das Autostart-Verzeichnis einfügen, um bei einem erneuten Hochfahren des Rechners gestartet zu werden. Zudem stoppt der Wurm den Windows Update-Service und installiert einen eigenen HTTP-Server, um sich über das Netzwerk zu verbreiten.