Phatbot im Schlepptau von Sasser

Veröffentlicht am von

Es wird immer interessanter, der Superwurm Phatbot arbeitet mit dem Wurm Sasser zusammen. Normalerweise benutzt der Wurm Phatbot die von anderen Schädlingen geöffneten Hintertüren um die befallenen Rechner ebenfalls zu infizieren. War dies erfolgreich wird der ursprüngliche Schädling gelöscht und die Hintertür geschlossen. Anders jedoch bei Sasser, hier loggt Phatbot alle IP-Adressen mit an die sich der Sasser-Wurm schickt. Danach folgt er den geloggten Verbindungen und infiziert die befallenen Rechner ebenfalls.
Möglich macht dies natürlich die „Bauweise“ des Wurms Phatbot, damit ist es möglich neue Funktionen einfach nachzuladen und zu registrieren, also ein Wurm mit „Update-Funktion“.

Die Liste der Features von Phatbot ist nahezu unüberschaubar: Er kann automatisch CD-Keys von populären Spielen extrahieren oder als Drohne in einem IRC-Botnetz eingesetzt werden. Phatbot bringt dabei Rootkit-Funktionen für Windows mit (Process Hide), um seine Existenz zu verbergen. Um seine Analyse in Virenlaboren zu erschweren, kann er sich unter VMware völlig anders verhalten. Ebenso erkennt er das Vorhandensein diverser Debugger zuverlässig. Zudem läuft der Schädling auch unter Linux: Der in C++ geschriebene Bot ist POSIX-kompatibel und damit auch unter Unix-Systemen funktionsfähig. Schließlich können sich die einzelnen Clients in einem Peer-to-Peer-Netzwerk organisieren und den Verkehr SSL-verschlüsselt übertragen.

Gefährlich macht diesen Wurm zusätzlich das der Quellcode von Phatbot frei verfügbar ist. Somit kann sich jeder der ein wenig mit der Programmierung in C++ und dem Kompilieren von Programmen vertraut ist einen Wurm zusammenbasteln. Weiterhin hat der Wurm ein grafisches Konfigurationstool eingebaut, was das Virenbasteln noch einfacher macht.

Es bleibt weiter spannend…