neuer Virus!

Beiträge: 2
Zugriffe: 261 / Heute: 1
neuer Virus! Pichel
Pichel:

neuer Virus!

 
06.06.03 19:03
#1
W32.Bugbear.B@mm ist eine Variante von W32.Bugbear@mm. Der Massen-Mail-Wurm W32.Bugbear.B@mm verbreitet sich auch über Netzwerkfreigaben. Der Wurm ist polymorph und infiziert zudem eine Auswahl ausführbarer Dateien. Der Wurm kann Tastenanschläge mitprotokollieren und eine sogenannte "Backdoor" (Hintertür) einrichten. Darüber hinaus versucht er, die Prozesse verschiedener Antivirus- und Firewall-Programme zu beenden.

Der Wurm nutzt die Sicherheitslücke »Incorrect MIME Header Can Cause IE to Execute E-mail Attachment« aus, um auf Systemen ohne Patch beim einfachen Lesen einer infizierten Nachricht oder bei deren Anzeigen in der Vorschau den Wurm automatisch auszuführen.

Da der Wurm die Netzwerkressourcenarten nicht ordnungsgemäß behandelt und deshalb gemeinsam genutzte Druckerressourcen überflutet, führt dies zum Ausdruck von Datenmüll oder anderen Störungen des normalen Betriebs.

Aufgrund der Zahl von Meldungen von Kunden hat Symantec Security Response diese Bedrohung von Kategorie 2 auf Kategorie 4 hochgestuft.

Auch bekannt als: Win32.Bugbear.B (CA), W32/Bugbear.b@MM (McAfee), PE_BUGBEAR.B (Trend), W32/Bugbear-B (Sophos), I-Worm.Tanatos.b (KAV), W32/Bugbear.B [Panda], Win32/Bugbear.B@mm (RAV)

Typ: Virus, Wurm

Infektionslänge: 72.192

Betroffene Systeme: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

Schutz

Virusdefinitionen (Intelligent Updater) 05.06.2003

Virusdefinitionen (LiveUpdate) 05.06.2003




Technische Details

Wenn W32.Bugbear@mm ausgeführt wird, kopiert er sich selbst in den Ordner "\Autostart" als ???.exe, wobei ? vom Wurm gewählte Buchstaben darstellt. Beispiel:


Er könnte sich bei Ausführung auf einem Windows 95/98/Me-System als C:\Windows\Startmenü\Programme\Autostart\Cuu.exe kopieren.
Er könnte sich bei Ausführung auf einem Windows NT/2000/XP-System als C:\Dokumente und Einstellungen\\Startmenü\Programme\Autostart\Cti.exe kopieren.

Massen-Mail-Routine
Der Wurm sendet sich selbst massenhaft als Nachricht an E-Mail-Adressen, die er auf dem System findet. Er sucht nach E-Mail-Adressen im aktuellen Posteingang sowie in Dateien mit folgenden Erweiterungen:
.mmf
.nch
.mbx
.eml
.tbb
.dbx
.ocs

Er ruft die E-Mail-Adresse und den SMPT-Server des aktuellen Benutzers aus folgendem Registrierungsschlüssel ab:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts

Über seine eigene SMTP-Engine sendet er sich dann an alle gefundenen E-Mail-Adressen, wobei er die Absenderadresse fälscht.

Der Wurm kann eine vorhandene Nachricht beantworten oder weiterleiten, oder aber eine neue Nachricht mit einer der folgenden Betreffzeilen erstellen:
Hello!
update
hmm..
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Stats
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
wow!
fantastic
click on this!
Market Update Report
empty account
My eBay ads
Cows
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
News
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
Re:
$150 FREE Bonus!
Your News Alert
Hi!
Get 8 FREE issues - no risk!
Greets!

Für den Dateinamen der Anlage verwendet der Wurm Namen aus dem Ordner "Eigene Dateien", die eine der folgenden Erweiterungen aufweisen:
.reg
.ini
.bat
.diz
.txt
.cpp
.html
.htm
.jpeg
.jpg
.gif
.cpl
.dll
.vxd
.sys
.com
.exe
.bmp
Dem Dateinamen wird dann eine der folgenden Erweiterungen hinzugefügt:

.scr
.pif
.exe


Zusätzlich kann der Dateiname aus einem der folgenden Wörter bestehen:

readme
Setup
Card
Docs
news
image
images
pics
resume
photo
video
music
song
data


Der Inhaltstyp der Nachricht wird dem Dateityp angepasst und kann einer der folgenden sein:

text/html
text/plain
application/octet-stream
image/jpeg
image/gif


Die E-Mail-Nachricht kann schlussendlich mit oder ohne Ausnutzen der Sicherheitslücke Incorrect MIME Header Can Cause IE to Execute E-mail Attachment zusammengestellt werden, um auf einem anfälligen System automatisch ausgeführt zu werden.

Infizieren lokaler und Netzwerkdateien:
Der Wurm infiziert auch Dateien auf lokalen und Netzwerkfreigaben, die die folgenden Dateinamen aufweisen. Der Wurm hängt sich einfach an und ist polymorph.

scandskw.exe
regedit.exe
mplayer.exe
hh.exe
notepad.exe
winhelp.exe
Internet Explorer\iexplore.exe
adobe\acrobat 5.0\reader\acrord32.exe
WinRAR\WinRAR.exe
Windows Media Player\mplayer2.exe
Real\RealPlayer\realplay.exe
Outlook Express\msimn.exe
Far\Far.exe
CuteFTP\cutftp32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
ACDSee32\ACDSee32.exe
MSN Messenger\msnmsgr.exe
WS_FTP\WS_FTP95.exe
QuickTime\QuickTimePlayer.exe
StreamCast\Morpheus\Morpheus.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
Trillian\Trillian.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
AIM95\aim.exe
Winamp\winamp.exe
DAP\DAP.exe
ICQ\Icq.exe
kazaa\kazaa.exe
winzip\winzip32.exe

Infizierung von Netzwerkfreigaben

Der Wurm sucht sämtliche Netzwerkfreigaben und Computer und versucht, sich auf diese Freigaben zu kopieren. Außerdem versucht der Wurm, sich selbst in den Windows-Autostart-Ordner auf entfernten Systemen zu kopieren.

Der Wurm macht keinen Unterschied zwischen Computern und Druckern. Deshalb gerät der Wurm unbeabsichtigt als Druckauftrag in die Warteschlange von im Netzwerk freigegebenen Druckern.

Tastaturmonitor
Der Wurm legt einen Tastaturmonitor als DLL mit zufälligem Namen in den Windows-Systemordner. Die Datei hat eine Größe von 5.632 Byte und wird als PWS.Hooker.Trojan erkannt. Der Wurm erstellt zusätzliche verschlüsselte Dateien im Windows-Ordner und -Systemordner mit zufälligen Dateinamen und den Erweiterungen.DLL oder .DAT. Diese Dateien speichern vom Tastaturmonitor aufgezeichnete Konfigurationsinformationen und verschlüsselte Tastenanschläge.

Diese Datendateien sind nicht gefährlich und können gelöscht werden.

Beenden von Prozessen
Der Wurm versucht, Prozesse von Sicherheitsprodukten zu beenden, die folgende Namen aufweisen:

ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EOUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
Backdoor- oder Hintertür-Routine
Der Wurm öffnet den Port 1080 und überwacht ihn. Ein Hacker kann mit diesem Port Verbindung aufnehmen und dann folgende Aktionen durchführen:

Das Löschen von Dateien.
Das Beenden von Prozessen.
Das Auflisten von Prozessen und die Übermittlung der Liste an den Hacker.
Das Kopieren von Dateien.
Das Starten von Prozessen.
Das Auflisten von Dateien und die Übermittlung der Liste an den Hacker.
Die Übermittlung abgefangener Tastenanschäge an den Hacker (in verschlüsselter Form). Dadurch können vertrauliche Informationen, die auf einem Computer eingegeben wurden (Kennwörter, Anmeldedaten usw.), in falsche Hände gelangen.
Die Übermittlung von Systeminformationen an den Hacker in der folgenden Form:
Benutzer:  
Prozessor:  
Windows-Version:  
Speicherinformationen:  
Lokale Laufwerke, deren Typen (z.B. Fest/Wechsel/RAM-Disk/CD-ROM/Portabel) sowie deren physische Charakteristiken.
Das Auflisten von Netzwerkressourcen samt deren Typen und die Übermittlung der Liste an den Hacker.
Englische Version dieses Dokuments
Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.

Empfehlung

Symantec Security Response empfiehlt allen Anwendern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:

Beenden und entfernen Sie all nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht kritisch sind, wie FTP-Clients, Telnet und einen Internetbrowser. Diese Dienste öffnen Angriffen Tür und Tor. Wenn Sie entfernt werden, bestehen weniger Angriffsflächen und Sie haben weniger Programme zu pflegen.
Wenn eine komplexe Bedrohung über mehr als ein Netzwerkdienst verteilt wird, werden diese deaktiviert oder blockiert, bis ein Patch ausgeführt wurde.
Halten Sie Ihre Patches immer auf dem neuesten Stand, besonders auf den Computern, auf denen öffentliche Dienste angeboten werden und auf die durch eine Firewall über z. B. http, FTP, E-Mail und DNS-Dienste zugegriffen werden kann.
Richten Sie einen Passwortschutz ein. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf beschädigten Computern. Dies hilft Ihnen, die Folgen eines Computereinbruchs zu mindern.
Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails, die Dateianhänge enthalten, über die häufig Viren verbreitet werden, wie Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr, blockiert oder entfernt werden.
Isolieren Sie infizierte Computer schnell, um weiteren Schaden zu vermeiden. Führen Sie eine forensische Analyse durch und reparieren Sie den Computer mit Hilfe vertraulicher Medien.
Schulen Sie Ihre Angestellten daraufhin, keine Anhänge zu öffnen, wenn diese unaufgefordert eingesendet werden. Führen Sie ebenfalls keine Software aus, die aus dem Internet geladen wurde, wenn die Dateien zuvor nicht auf Viren geprüft wurden. Schon der einfache Besuch einer beschädigten Internetseite kann eine Infektion hervorrufen, wenn bestimmte Browserschäden nicht repariert werden.
Entfernungsanweisung

Wenn Sie denken, dass Ihre Daten infiziert sind, laden Sie bitte die jüngsten Virusdefinitionen über LiveUpdate herunter.



Gruß Pichel neuer Virus! 1054404

neuer Virus! Tadellos

wieder was dazu gelernt! o. T.

 
#2


Talkforum - Gesamtforum - Antwort einfügen - zum ersten Beitrag springen
--button_text--