Hallo Freunde !!
Ich bins schon wieder, aber vielleicht hilfts dem einen oder anderen.
Computerwurm gefährdet Heimcomputer
Ein neuer Computerwurm tarnt sich als Programm des Software-Anbieters Microsoft und täuscht vor, ein Sicherheitsloch in Microsoft-Programmen zu schließen.
Mit dieser cleveren Taktik habe der „Swen“ oder „Gibe“ genannte Wurm es geschafft, sich explosionsartig zu verbreiten, sagte Computerexperte Josef Pichlmayr von Ikarus Software der APA.
Der heimtückische Wurm gelange als E-Mail-Anhang auf die Festplatten und versende sich dann selbstständig an die auf dem Rechner gespeicherten Adressen weiter. „Er verbreitet sich mit einer hochgradig ungewöhnlichen Geschwindigkeit. Während die Zahl der von ’Swen’ verschickten infizierten E-Mails am Freitag noch bei 20.000 lag, haben wir am Wochenende 100.000 E-Mails registriert“, sagte Pichlmayr. Der Wurm könne nur deshalb so erfolgreich sein, weil die Attachments der infizierten E-Mails den Sicherheitsprogrammen von Microsoft täuschend ähnlich seien. Es solle aber klargestellt werden, dass die Firma Microsoft ohne Anforderung keine Sicherheitsprogramme als Attachments verschicke. Solche E-Mails sollten stets kritisch betrachtet werden.
Die Leidtragenden seien fast ausschließlich private Internet- Nutzer, da sich der Wurm vor allem über die Musiktauschbörse KaZaa, Internet-Diskussionsforen und gemeinsam genutzten Netzwerken verbreite, erläuterte der Fachmann. Für die Datenverarbeitung von Firmen bedeute der Wurm nur ein geringes Sicherheitsrisiko, da deren Virenschutz im Gegensatz zu dem der meisten Heimcomputer ausreichend sei.
Nähere Informationen zu I-Worm.Swen.A, alias W32.Gibe.F, Win32.HLLM. Gibe2
I-Worm.Swen kommt per HTML-eMail, getarnt als Microsoft Update auf Ihren Rechner. Der Wurm benützt eine bekannte und seit langem behobene Schwachstelle des Microsoft Mailclients womit er sich schon in der Vorschau akivieren kann.
Sind auf dem Rechner alle Patches der letzten Tage installiert kann er nur durch Doppelklick aktiviert werden. Er kopiert sich sofort in das Windows-Verzeichnis mit einem zufälligen Namen und beendet aktive Programme wenn folgende Namen im Prozess vorkommen:
vsstat, vshwin32, vsecomr, vscan, vettray, vet98, vet95, vet32, vcontrol, vcleaner, tds2, tca, sweep, sphinx, serv95, safeweb, rescue, regedit, rav, pview, pop3trap, persfw, pcfwallicon, pccwin98, pccmain, pcciomon, pavw, pavsched, pavcl, padmin, outpost, nvc95, nupgrade, nupdate, normist, nmain, nisum, navw, navsched, navnt, navlu32, navapw32, nai_vs_stat, msconfig, mpftray, moolive, luall, lookout, lockdown2000, kpfw32, jedi, iomon98, iface, icsupp, icssuppnt, icmoon, icmon, icloadnt, icload95, ibmavsp, ibmasn, iamserv, iamapp, gibe, f-stopw, frw fp-win, f-prot95, fprot95, f-prot, fprot, findviru, f-agnt95, espwatch, esafe, efinet32, ecengine, dv95, claw95, cfinet, cfind, cfiaudit, cfiadmin, ccshtdwn, ccapp, bootwarn, blackice, blackd, avwupd32, avwin95, avsched32, avp avnt, avkserv, avgw, avgctrl, avgcc32, ave32, avconsol, autodown, apvxdwin, aplica32, anti-trojan, ackwin32, _avp
Will der User nun eines dieser angegebenen Programme nochmals starten so erhält er die Fehlermeldung "Memory access violation in module kernel32 at (Numer)".
Mit weiteren Pop-Up Fenstern lenkt der Wurm den User vor dem eigentlichen Hintergrundtreiben ab und verschleiert so seine Tätigkeit.
Für den Autostart nach einen Rechner-Neustart sorgt der übliche Registry-Eintrag unter.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "(variabler String)" = "zufälliger Dateiname" autorun
In der Registry werden auch einige umfangreichere Änderungen durchgeführt:
HKEY_CLASSES_ROOT\batfile\shell\open\command "(Default)" = %Dateiname% "%1" %*
HKEY_CLASSES_ROOT\comfile\shell\open\command "(Default)" = %Dateiname% "%1" %*
HKEY_CLASSES_ROOT\exefile\shell\open\command "(Default)" = %Dateiname% "%1" %*
HKEY_CLASSES_ROOT\piffile\shell\open\command "(Default)" = %Dateiname% "%1" %*
HKEY_CLASSES_ROOT\regfile\shell\open\command "(Default)" = %Dateiname% showerror
HKEY_CLASSES_ROOT\scrfile\shell\config\command "(Default)" = %Dateiname% "%1"
HKEY_CLASSES_ROOT\scrfile\shell\open\command "(Default)" = %Dateiname% "%1" /S
Dateiname = Wurmname
Im Windows-Verzeichnis werden einige Dateien vom Wurm angelegt die unter anderem die eMailadressen des infizierten Rechners beinhalten (Dateiname "GERMS0.DBV"
, eine Lister der Remote-Server (Dateiname "SWEN1.DAT"
sowie ein Patch-Script (Wurmcode) und ein Config-File für den Wurm mit zufälligem Namen.
Für seine Verbreitung sorgt der integrierte SMTP-Server und somit ist der Wurm nicht auf ein bestimmtes Mailprogramm angewiesen. Die eMailadressen werden aus den Dateien .eml, .wab, .dbx, .mbx und .asp gesucht.
Hat der infizierte Rechner KaZaa (Filesharing) oder IRC (Chat-Client) installiert so verbreitet sich der Wurm auch über diese Programme. In einem Netzwerk oder wenn Sie Laufwerke freigegeben haben kopiert sich der Wurm in das Autostart-Verzeichnis mit einem zufälligen Namen.
In folgende Verzeichnisse kopiert sich der Wurm:
windows\all users\start menu\programs\startup
windows\start menu\programs\startup
winme\all users\start menu\programs\startup
winme\start menu\programs\startup
win95\all users\start menu\programs\startup
win95\start menu\programs\startup
win98\all users\start menu\programs\startup
win98\start menu\programs\startup
document and settings\all users\start menu\programs\startup
document and settings\default user\start menu\programs\startup
document and settings\administrator\start menu\programs\startup
winnt\profiles\all users\start menu\programs\startup
winnt\profiles\default user\start menu\programs\startup
winnt\profiles\administrator\start menu\programs\startup
Sollte auf dem infizierten Rechner das Chatprogramm MIRC installiert sein so verändert der Wurm die Datei "script,ini" um sich selbst bei der nächsten einwahl in den chat selbst zu verbreiten.
Im Temp-Verzeichnis legt der Wurm einen Ordner mit zufälligem Namen an und erstellt darin eine Kopie unter zufälligem Namen seines Wurmcodes. Die Namen sind im Wurm integriert wie z.B:
Virus Generator, Magic Mushrooms Growing, Cooking with Cannabis, Hallucinogenic Screensaver, My naked sister XXX Pictures, Sick Joke, XXX Video, XP update, Emulator PS2, XboX Emulator, Sex HardPorn, Jenna Jameson, 10.000 Serials, Hotmail hacker, Yahoo hacker, AOL hacker, fixtool cleaner removal tool, remover Klez, Sobig, Sircam, Gibe, Yaha, Bugbear installer, upload, warez, hacked, hack, key generator, Windows Media Player, GetRight FTP, Download Accelerator, Mirc, Winamp, WinZip, WinRar, KaZaA, KaZaA media desktop, Kazaa Lite.
Mit dem Registry-Eintrag wird dann dieses Verzeichnis an alle KaZaa-User freigegeben:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent "Dir99" = 012345:C:\WINDOWS\TEMP\(Dateiname)
Damit der User des infizierten Rechners den Wurm nicht manuell per RegEdit entfernen kann wurde der Registryeintrag von RegEdit geändert auf:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Policies\System "DisableRegistryTools" = 01 00 00 00
Auch der Registryeintrag für den Explorer wurde verändert:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\explorer\%varabler string%
Dieser variable String könnte folgendes beinhalten:
"Install Item" = (random string used for installed copy of worm in %WinDir%)
"Installed" = ... by Begbie
"Kazaa Infect" = yes
"Mirc Install Folder" = C:\Program Files\mirc
"Unfile" = buzf.qtq
"ZipName" = wqrqgd
Mit einer gefäschten Mapi32-Konfiguration wird der User zur Eingabe folgender Daten aufgefordert:
email From name
login name/password
email address
SMTP server
POP3 server
Eine eigentliche Schadensfunktion hat I-Worm.Swen nicht inkludiert wobei die manuelle Entfernung durch die variablen Dateinamen sowie die geänderten Registryeinträge sehr stark erschwert wird.
Um den Registry-Editor wieder starten zu können kopieren Sie bitte folgende Zeilen in eine TXT-Datei und ändern die Dateiendung auf .REG um:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System] "DisableRegistryTools"=dword:00000000
[HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\regfile\shell\open\command\] @="regedit.exe \"%1\""
[HKEY_CLASSES_ROOT\scrfile\shell\config\command\] @="\"%1\" %*"
[HKEY_CLASSES_ROOT\scrfile\shell\open\command] @="\"%1\" /S"
Nach einem Doppelklich und der bestätigung diese Datei der Registry hinzufügen zu wollen, sollten Sie wieder alle Programme starten und mit der manuellen Entfernung beginnen können.
ÖSTERREICH
Mittwoch, 24. September 2003
15
0 Uhr
Ich wünsche und hoffe , dass Ihr verschont bleibt.
Liebe Grüsse Reini