Botnetz infiziert über Router und Modems

Originalartikel von Carolyn Guevarra (Technical Communications bei Trend Micro)

Cyberkriminelle haben ein Botnet alter Schule wiederbelebt und es „Chuck Norris“ genannt (wegen des italienischen Kommentars im Quellcode in nome di Chuck Norris). Das Botnet infiziert angreifbare DSL-Modems und Router, um den von Trend Micro als WORM_IRCBOT.ABJ identifizierten Wurm zu verbreiten.

Der Wurm versucht, Zugriff auf den Ziel-Router zu erlangen, indem er dessen Konfigurations-Kennwort unter Anwendung von Brute Force errät. Er verbreitet sich möglicherweise auch über Shared-Netzwerke, indem er eine bekannte Microsoft-Schwachstelle nutzt, nämlich MS03-039 Buffer Overrun in RPCSS Service. Die Routinen des Wurms führen bei den Anwendern, die mit diesem Netzwerk oder Router verbunden sind, möglicherweise zu Infektionen.

Außerdem besitzt der Wurm Backdoor-Fähigkeiten, die es Angreifern ermöglichen, Remote-Befehle auf den betroffenen Systemen auszuführen. Dazu gehören das Herunterladen und Ausführen von Malware sowie das Starten von Denial-of-Service-Angriffen gegen andere Systeme. Das Hauptziel ist letztendlich, von unwissenden Nutzern zu profitieren, indem die Kriminellen persönliche Identifizierungsinformationen stehlen, um auf bestimmte Websites, in erster Linie Banking-Sites zuzugreifen.

Die Infizierungsroutine über einen Router mag für die meisten Bots ungewöhnlich sein, denn die infizieren vor allem Computer. Doch es ist nicht das erste Mal, dass dieser Weg über Router oder Modems gewählt wurde. Trend Micro hat bereits in der Vergangenheit über Angriffe dieser Art berichtet, etwa mithilfe von ZLOB, RBOT, and QHOST.

Trend Micro empfiehlt deshalb Anwendern dringend, ihre Systeme auf aktuellem Stand zu halten und starke Router- sowie Modem-Kennwörter zu nutzen. Computer, die bereits kompromittiert sind, sollten sofort isoliert und gesäubert werden. Das Trend Micro Smart Protection Network schützt die Anwender vor dieser Gefahr, denn die Content-Sicherheitsinfrastruktur verhindert mithilfe der File Reputation Services die Ausführung von Dateien auf infizierten Systemen. Anwender, die kein Trend Micro Produkt im Einsatz haben, können kostenlose Tools wie RUBotted-Online-Services nutzen. Das Tool überwacht verdächtige Aktivitäten auf dem Computer und identifiziert Aktivitäten, die im Zusammenhang mit einem Bot stehen. Im Fall einer Infektion, fordert das Tool den Nutzer auf, seinen Computer zu scannen und zu säubern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*