Aktuelles zu grasierenden Schädlingen
Wie erkennen? Wie vermeiden? Was tun, wenn sie schon da sind?

Worm/Badtrans

E-Mail-Wurm installiert Backdoor und Key Logger
BadTrans kommt mit zwei Extensions

Wien (pte, 26. Nov 2001 15:12) - Der Wurm verbreitet sich über E-Mail und installiert auf dem befallenen System ein Backdoor sowie einen Key Logger, der jeden Tastendruck auf dem Keyboard des PCs registriert.
Das Attachment des Wurms weist einen zufällig ausgewählten Namen sowie eine Kombination von zwei Extensions auf. Als erste Extension wird .doc, .mp3 oder .zip verwendet, die zweite Extension lautet auf .pif oder .scr. Der Name der Datei wird aus einer Liste zufällig gewählt. Ein Attachment von BadTrans kann so die Bezeichnung "CARD.DOC.PIF" oder "NEWS_DOC.ZIP.SCR" tragen. Wird die Datei unvorsichtigerweise geöffnet, so verschickt sich der Wurm an alle Absender der ungelesenen E-Mails im Ordner Posteingang und führt seine Schadensfunktionen aus. Die IP-Adresse des befallenen Rechners soll ebenfalls an den Autor des Wurms versandt werden.

Aussender: pressetext.austria

BadtransII ruft eine Massenepidemie hervor
Verbreitungsgeschwindigkeit übertrifft selbst 'SirCam' und 'I-Love-You'.

'BadtransII' nutzt dieselbe Lücke im Mail-Clients Schutz, die auch die Viren 'Nimda' und 'Aliz' gebrauchen. Das Schlupfloch in MS Outlook hat zu Folge, dass die der Mail angehängte Datei gestartet wird, ohne dass der User dies bemerkt.

Der Wurm tarnt sich als eMail, deren Betreff entweder leer oder 'Re:' sein kann. Der Mail-Body ist ebenfalls ohne Text. Der Name des Anhangs wird aus einigen Varianten zufällig ausgewählt.

Einige Beispiele der Anhangs-Bezeichnungen sind: 'Pics', 'PICS', 'images', 'IMAGES', 'README', 'New_Napster_Site' ,'news_doc', 'NEWS_DOC', 'HAMSTER', 'YOU_are_FAT!', 'YOU_ARE_FAT!', 'stuff', 'SETUP' ,'Card', 'CARD', 'Me_nude', 'ME_NUDE', 'Sorry_about_yesterday', 'info', 'docs', 'DOCS', 'Humor', 'HUMOR', 'fun', 'FUN', 'SEARCHURL', 'S3MSONG'.

Die Datei selbst kann mehrere Endungen besitzen, beispielsweise DOC, ZIP, MP3, sowie SCR, PIF, oder 'info.DOC.scr'.

Die verseuchte Datei kann sowohl von einer echten, falls die Mail von einem infizierten Rechner versandt wird, als auch einer falschen eMail-Adresse, die willkürlich aus der folgenden Liste ausgewählt wird, verschickt werden:
Anna, JUDY, Rita Tulliani, Tina, Kelly Andersen, Andy, Linda, Mon S, Joanna, JESSICA BENAVIDES, Administrator, Admin, Support, Monika Prado, Mary L. Adams, Tina.

Beim Starten der angehängten Datei versucht der Virus alle ungelesenen Meldungen im MS Outlook-Client zu beantworten. Außerdem schickt er die IP-Adresse des verseuchten Computers an uckyjw@hotmail.com. Dann kopiert er sich in die System-Registry und ermöglicht einen unautorisierten Zugriff auf den verseuchten Computer von Außerhalb.

WICHTIG:
Der Dateianhang muss nicht unbedingt geöffnet worden sein. Der mitgelieferte Trojaner kann sich auch so schon über Outlook oder OutlookExpress im Betriebssystemn eingenistet haben.

Bekämpfung von BadTrans

Removal Instructions im Detail erklärt bei sophos (auf englisch) - auf jeden Fall empfehlenswert, wenn der Verdacht besteht, dass der Wurm bereits in Ihrem System ist

Panda W32/Badtrans.B Removal Utility - sie müssen sich dazu allerdings vor registrieren bei PandaSecurity.com

Removing Badtrans.A worm - ein 30-Tage-Test-Demo der Proland Protector Plus Software bietet sich hier an

Removal Tool für W32.Badtrans.B@mm

zurück                              nach oben

Worm/W32.Sircam

SirCam-Virus immer noch aktiv - Heise-News vom 04.11.2001

In der "Top-Ten-Hitliste" des Antivirenherstellers Sophos rangiert der mittlerweile sattsam bekannte E-Mail-Wurm SirCam im Oktober 2001 wieder auf Rang 1. Mit 21,7 Prozent Anteil an bekannt gewordenen Viren-Attacken hat W32/Sircam-A seinen Mitstreiter W32/Nimda-A (17,8 Prozent) wieder auf Platz 2 verwiesen. Bemerkenswert daran ist, dass dieser Wurm, den jede Anti-Virus-Software, die den Namen verdient, heute entdecken respektive entsorgen kann, immerhin schon seit Mitte Juli 2001 sein Unwesen treibt. (gr/c't)

Der Mail-Wurm "SirCam" verschickt nicht nur sich selbst, sondern zusätzlich auch noch Dateien, die er auf dem infizierten Rechner findet - und dabei kann es sich durchaus auch um sehr persönliche Dokumente handeln, sucht er doch laut McAfee bevorzugt im Verzeichnis "Eigene Dateien". Der Wurm verfügt auch über einen eingebauten SMTP-Server. Sollte der Wurm auf einem Rechner aktiv werden, auf dem dieser nicht funktioniert, nutzt er einen der drei öffentlichen SMTP-Server "doubleclick.com.mx", "enlace.net" oder "goeke.net".

SirCam ist eine 130 kB große Delphi-Anwendung, die als E-Mail-Anhang mit unterschiedlichen Namen und doppelter Extension verschickt wird. Der Text der E-Mail ist in Englisch oder Spanisch und beginnt mit "Hi! How are you?" oder "Hola como estas?". Der Schädling installiert sich in den Recycled-Ordner des Windows-Laufwerks sowie verschiedene andere Verzeichnisse, auch im Netzwerk.

Wird dieser ausgeführt, so erstellt er folgende Dateien:

'C:\Recyled\SirC32.exe'
'C:\Recyled\LoveJoy_.com'
'C:\Windows\System\Scam32.exe'
'C:\Windows\Temp\LoveJoy_.com'

Die Datei SirC32.exe wird in die Registry Shell - Kommando für EXE Dateien eingetragen, wobei bei jedem Start einer EXE Datei sich der Wurm erneut ausführt. Hierzu nutzt er folgenden Eintrag in der Registry:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"C:\\recycled\\SirC32.exe\" \"%1\" %*"

Die Scam32.exe wird in die Registry als "Treiber" eingetragen, die bei jedem Systemstart aufgerufen wird:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "Driver32"="C:\\WINDOWS\\SYSTEM\\SCam32.exe"

SirCam kann sich auch in die Autoexec.bat mit folgenden Befehl eintragen:

@win \recycled\SirC32.exe

Der Wurm legt noch einen dritten Eintrag in der Registry an:

[HKEY_LOCAL_MACHINE\Software\SirCam]

Sollte die Datei Scam32.exe oder SirC32.exe mit der Dateiendung .DOC.COM versehen werden, löscht der Wurm beim Ausführen sämtliche Dateien, die auf dem Laufwerk C: gespeichert worden sind.

Zum Versenden benutzt der Wurm seine eigene SMTP-Engine und verschickt sich selbst als ein ausführbares Programm. Die dazugehörigen Emailadressen findet er im Windows-Adressbuch und in Dateien, die mit folgenden Dateinamen beginnen bzw. enden: SHO*, GET*, HOT*, *.HTM, *WAB und einige mehr. Diese Emailadressen werden als DLL Datei getarnt gespeichert, die sich im System-Verzeichnis von Windows befindet. Der Name der Datei ist meistens SCD1.DLL, wobei sich der zweite und dritte Buchstabe beliebig ändern kann.

Das Attachment der infizierten Email hat eine doppelte Dateierweiterung, d.h.

-> Dateiname.ext1.ext2

Die erste Dateierweiterung (ext1) kann folgende Varianten besitzen: DOC, XLS, ZIP, EXE. Die zweite Erweiterung (ext2) besitzt eine der folgenden Extensions: PIF, LNK, BAT, COM.

Der Name des Attachment (Dateiname.ext1) kommt von einer beliebigen Datei, die im Ordner 'Eigene Dateien' gespeichert wurde. Der Wurm erstellt eine Liste aller dort stehenden .DOC .EXE .GIF .JPG .JPEG .MPEG .MOV .MPG .PDF .XLS .ZIP - Dateien und speichert diese als SCD.DLL im System-Verzeichnis ab. Verschickt sich der Wurm, entnimmt er der Liste einen beliebigen Dateinamen und benennt das entsprechende Attachment um.

Wird der Wurm als Email empfangen, kann sie folgendermaßen aussehen:

Subject: Der Betreff der Email kann unterschiedlich sein. Der Wurm benützt den Namen des Attachment und trägt ihn in den Betreff ein.
Message: Der Nachrichten - Body hat verschiedene Inhalte, wobei die erste und letzte Zeile (in der Spanischen und Englischen Version) immer gleich sind.

Englische Version

Erste Zeile: Hi! How are you?
Letzte Zeile: See you later, Thanks

Spanische Version

Erste Zeile: Hola como estas ?
Letzte Zeile: Nos vemos pronto. Gracias

Wird das Attachment des Wurmes ausgeführt, wird ein Word Dokument aufgerufen, während im Hintergrund das System infiziert wird.

Bekämpfung von W32.sirCam

Removal Tool W32.Sircam.Worm@mm

Virenkiller für SirCam bei Panda-Software

zurück                              nach oben

W32.Nimda.A (W32/Nimda.eml) - inzwischen ist bereits die Version D im Netz
makabres Wortspiel am Rande :  nimda von rückwärts gelesen = admin

c't 21/2001, S. 140: Sicherheit

Jürgen Schmidt

Sicherheitsrisiko Microsoft

Die Kehrseite des Windows-Komforts

ILOVEYOU, Sircam, Code Red, Nimda ... - der schaurige Reigen nimmt kein Ende. Gemeinsamer Nenner der sonst sehr unterschiedlichen Schädlinge: Die Opfer waren Microsoft-Kunden.

Der Nimda-Wurm demonstrierte sehr gründlich, was mit Microsoft-Software alles möglich ist. Arglose Surfer öffnen mit ihrem Internet Explorer 5.5 eine Webseite auf einem befallenen Internet Information Server, und bevor sie sich versehen, ist der eigene Rechner befallen. Anwender betrachten eine Mail in der Vorschau von Outlook Express - schon wird der Virus aktiv. Selbst Antiviren-Software half nichts; sie erkannte den Schädling nicht ohne spezielle Updates, die jedoch erst nach der ersten Welle verfügbar waren.

Der Wurm nutzte zum 'automagischen' Befall bekannte Sicherheitslücken des Internet Explorer 5.0 und 5.5 aus, für die bereits seit einiger Zeit Patches bei Microsoft bereitstehen (Service Pack 2). Wer also seinen Browser immer auf dem aktuellen Stand hält, hat nichts zu befürchten. Nichts? Nein, die Updates stellen lediglich den als sicher erachteten Zustand wieder her - nämlich dass der Anwender zumindest gefragt wird, wie mit einer unbekannten Datei zu verfahren ist. Wer bei einer Nimda-Mail oder -Website die angebotene Datei ausführt, hat verloren - das Unheil nimmt seinen Lauf.

Nicht einmal das regelmäßige Update auf die aktuelle Version bringt immer einen Sicherheitsgewinn: So konnte zwar Nimda Benutzern des Internet Explorer 6.0 nichts anhaben. Dafür hat Microsoft von Version 5.x auf 6.0 den Dialog beim Klick auf eine URL mit einer ausführbaren EXE-Datei geändert. Schlug Version 5.x noch vor, die Datei zu speichern, steht beim Internet Explorer 6.0 der Default auf 'Öffnen' - was als ausreichender Hinweis zu gelten hat, dass womöglich ein fremdes Programm heruntergeladen und dann auch gleich ausgeführt wird.

Bei dem Wurm W32/Nimda handelt es sich um einen Internet-Wurm, der sich als Massen-Mailer per Email versenden kann. Er kann auf allen Microsoft Windows 9x/Me und NT/2000 Plattformen ausgeführt werden.

Nimda verschickt sich selbst in einer Email als Attachment. Dieses Attachement trägt den Namen README.EXE, wobei die Dateinamenserweiterung .EXE standardmäßig nicht sichtbar ist.

Das Aussehen der Email ist unterschiedlich: Die Betreffszeile enthält einen zufälligen Text und der Body der Email ist zu meist leer. Werden Outlook oder Outlook Express eingesetzt, wird das Attachment selbst nicht in der Vorschau angezeigt

In seltenen Fällen können die Attachments auch die Dateinamenserweiterungen .COM oder .WAV tragen.

Wird die README.EXE beispielsweise automatisch oder durch einen Doppelklick ausgeführt, kopiert sich der Wurm in des Temp-Verzeichnis von Windows. Er erstellt eine Datei unter einem veränderlichen Namen der FormMExxxx.TMP.EXE, wobei xxxx variabel ist. Diese Datei wird ausgeführtund unter Windows 9x/Me beim nächsten Systemstart wieder gelöscht.

Danach kopiert sich der Wurm als folgende Dateien im Windows- bzw. System-Verzeichnis:

WINDOWS\LOAD.EXE
WINDOWS\RICHED20.DLL
WINDOWS\SYSTEM\RICHED20.DLL
WINDOWS\SHELLNEW\RICHED20.DLL

Bereits bestehende Dateien gleichen Namens werden hierbei überschrieben.

Die Datei LOAD.EXE wird in die SYSTEM.INI eingetragen. Hierdurch wird der Wurm beim nächsten Start von Windows automatisch ausgeführt:

SHELL=exploerer.exe load.exe -dontrunold

Nach einigen Minuten erstellt der Wurm in allen Unterverzeichnissen des Windows-Laufwerkes verschiedene .EML (Email-Dateien) -oder .NWS-Dateien (Newsgroup Postings). Diese Dateien enthalten wiederum den Wurm. Existieren Freigaben mit Schreibrechten, so kopiert sich der Wurm auch in diese Netzwerklaufwerke. Auch hier als zufällige .EML- oder .NWS-Dateien in den Unterverzeichnissen.

Anschliessend setzt der Wurm alle Anzeige-Einstellungen des Windows-Explorers auf seine Standardwerte zurück. Es werden nach der Umstellung keine als 'versteckt' bzw. 'system' deklarierte Dateien mehr angezeit. Auch die Anzeige der Dateinamenserweiterungen bei bekannten Programmen wird unterdrückt.

Besteht eine Verbindung zum Internet, versucht sich Nimda per FTP eine Datei namens ADMIN.DLL herunterzuladen. Unter NT versucht der Wurm einen Guest-Account dem System hinzuzufügen und versucht ebenfalls, diese, Account Administratorrechte zu verschaffen. Darüber hinaus gibt er das komplette Laufwerk C:\ mit Schrei- und Leserechten frei. Anschließend löscht der Wurm alle Keys im folgenden Registry-Eintrag: 

\System\CurrentControlSet\Services\Ianmanserver\Shares\Security

Wird der Wurm auf einem IIS Web-Server ausgeführt, erstellt er eine Datei namens README.EML. Zur automatischen Ausführung dieser Datei (beim Aufruf einer Webseite) baut er ein Java-Script ggf. in folgende Dateien ein:

Index.html
Index.htm
Index.asp
Readme.html
Readme.htm
Readme.asp
Main.html
Main.htm
Main.asp
Default.html
Default.htm
Default.asp

Wird nun eine der oben genannten veränderten Seiten aufgerufen, wird das Java-Script ausgeführt. Der Browser lädt die Datei README.EML auf den lokalen Rechner herunter. Einige Browser öffnen diese Datei je nach Sicherheitseinstellung sofort und führen das Attachement README.EXE gleich aus.

Um sich vor dieser Art der Infektion zu schützen, sollte die Sicherheitsstufe des Internet Explorers auf HOCH gestellt werden und die IIS Web-Server mit den aktuellen Patches von Microsoft versehen werden:

 Patch für Microsoft IIS 4.0

 Patch für Microsoft IIS 5.0

Bekämpfung von Nimda

Virenkiller für Nimda von Panda-Software

Removal Tool W32.Nimda.A@mm

Removal Tool W32.Nimda.E@mm

Entfernung des Nimda-Wurmes
Wegen einiger Aspekte des Nimda-Wurmes gestaltet sich das Entfernen des Nimda-Wurmes von einem betroffenen System äußerst schwierig. Hier eine genauere Erklärung dafür

  | 1 |  | 2 |  | 3 |  | 4 | weiter