-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Update von www.windows-update.com installiert Trojaner!
Auch seriös klingende Webseiten können gefährliche Fallen enthalten! Wer unter
www.windows-update.com die Datei update0932.exe installiert, holt sich einen Trojaner auf sein System. Der Trojaner "Zasil" tauchte erstmals im November 2002 auf und wird schon durch das bloße Aufrufen der falschen Update-Seite aktiviert.
Diese Killer-Webseite überflutet dann den Internet Explorer mit Daten, die die Verwaltung der Sicherheitszonen überlasten und die automatische Ausführung von "Zasil" ermöglichen.
Der Besitzer dieser in Schweden registrierten Domain ist natürlich nicht zu erreichen...Hinzu kommt noch, das die Trojaner-Webseite in E-Mails beworben wird, wo der User aufgefordert wird, sich ein ach so wichtiges Sicherheits-Update für sein Windows herunterzuladen.
Also Leute, solchen Mails mit irgendwelchen Sicherheits- oder Sonstwas-Updates nie glauben schenken und immer hübsch löschen. Microsoft selbst bietet seine Updates nur unter
www.windowsupdate.com oder unter dem Security Bulletin Archive an, ein Bindestrich zuviel beim Eintippen der Webadresse kann hier also zum Trojaner-Befall führen!
Die Sicherheitslücke im Internet Explorer ist schon seit Mai bekannt und Microsoft bietet mit dem Sammelpatch "
MS03-020 "
schon das passende Gegenmittel an.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Sobig.E
Mit Sobig.e (w32.sobig.e@mm) ist eine weitere Variante des Wurms im Netz aufgetaucht. Der digitale Übeltäter verbreitet sich in einem Anhang per Mail und über Netzwerke. Allerdings ist er leichter auszumachen als seine Vorgänger: Die Betreffzeile leiht er sich von Sobig.c, die angehängte Datei lautet immer " your_details.zip".
Wie seine Vorgänger versendet sich auch Sobig.e per SMT an die Mails im Adressbuch des Opfers. Offenbar hat der Wurm Respekt vor dem französischen Nationalfeiertag: Er beendet seine Aktivität just am 14. Juli.
Sobig ist ein Wurm, der sich per E-Mail und in Netzwerken über Shared Laufwerke ausbreitet.
Variante: Sobig.A
Sobig.A wurde das erste Mal am 09.01.2003 gefunden. Dieser Wurm versucht auch Downloads von der Geocities Web-Site.
Sobig.A durchsucht Dateien nach E-Mail-Adressen, die die folgenden Extensions besitzen:
.WAB
.DBX
.HML
.HTML
.EML
.TXT
Die Adresse des Absenders infizierter E-Mails ist stets:
big@boss.com
Subjects werden der folgenden Liste entnommen:
Re: Here is that sample
Re: Document
Re: Sample
Re: Movies
In der Nachricht befindet sich nur der Text:
Attached file:
Das Attachment enthält eine Datei mit der Extension .pif:
Sample.pif
Untitled1.pif
Document003.pif
Movie_0074.mpeg.pif
Sobig.A ist unabhängig von der auf dem betreffenden System eingesetzten Mail-Software, weil er eine eigene SMTP-Engine besitzt.
Lokale Netzwerke:
Sobig listet alle Shares des infizierten Systems und versucht seinen Code nach
Windows\All Users\Start Menu\Programs\StartUp
oder nach
Documents and Settings\All Users\Start Menu\Programs\Startup
zu kopieren.
Infektion:
Sobig.A kopiert seinen Code unter dem Namen
winmgm32.exe
in das Windows System-Verzeichnis. In die Registry trägt er einen Aufruf dieser Datei ein:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsMGM
Dadurch wird der Wurm bei jedem Systemstart aktiviert.
Backdoor:
Sobig.A enthält eine Download-Routine, die eine Datei holt und anschließend startet. Diese Funktion ist zur Zeit nicht funktionsfähig, da die URL nicht korrekt ist.
Variante: Sobig.B
Sobig.B ist der Alias-Name von Palyh.
Variante: Sobig.C
Sobig.C wurde das erste Mal am 31.05.2003 gefunden. Die infizierten Attachments besitzen die Extensions
.PIF
.SCR
Die Adressen der Absender in infizierten EMails sind gefälscht, wie zum Beispiel:
bill@microsoft.com
Weiterhin beschafft er sich aus dem infizierten System EMail-Adressen, die er als Absender infizierter EMails einsetzt.
Sobig.C breitet sich nach dem 08.06.2003 von infizierten Systemen nicht mehr aus.
Diese Variante breitet sich auch über Netzwerk Shares aus.
Sobig.C kopiert seinen Code unter dem Namen
mscvb32.exe
Er fügt in der Registry folgende Keys ein:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
System MScvb = %WindowsDir%\mscvb32.exe
Dadurch wird der Wurm bei jedem Start von Windows aktiviert.
Verbreitung über EMail:
Die Adressen für den Versand infizierter EMails werden aus Dateien beschafft, die folgende Extensions besitzen:
.wab
.dbx
.htm
.html
.eml
.txt
Subjects infizierter EMails werden folgender Liste entnommen:
Re: Screensaver
Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application
Die Namen der infizierten Attachments stammen aus folgender Liste:
screensaver.scr
movie.pif
submited.pif
45443.pif
documents.pif
approved.pif
application.pif
document.pif
Der Text der Nachricht ist immer gleich:
Please see the attached file.
Ausbreitung in lokalen Netzwerken
Am 08. Juni 2003 versucht Sobig.C, sich in lokalen Netzwerken auf Systeme auszubreiten auszubreiten, die offene Shares besitzen. Er kopiert seinen Code in folgende Verzeichnisse:
Windows\All Users\Start Menu\Programs\Startup\
Documents and Settings\All Users\Start Menu\Programs\Startup
Dies sind Standard-Verzeichnisse von Windows 9x, NT und XP. Beim nächsten Login nach dem Kopieren wird der Wurm gestartet. Dadurch werden diese Systeme infiziert.
Backdoor Downloader:
Sobig.C versucht Dateien von verschiedenen URLs herunterladen. Inzwischen ist dies nicht mehr möglich.
Säubern infizierter Systeme:
Mit Hilfe von
ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.zip
kann ein infiziertes System gesäubert werden. Hinweise zum Einsatz sind in
ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.txt
enthalten.
Variante: Sobig.D
Alias: Reteras
Der Wurm Sobig.D wurde das erste Mal am 18.06.2003 gefunden. Er ist mit Sobig.C eng verwandt und nur bis zum 02. Juli 2003 aktiv.
Der Wurm kopiert seinen Code unter dem Namen
cftrb32.exe
in das Windows-Verzeichnis und fügt folgende Einträge in die Registry ein:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SFtrb Service = %WindowsDir%\cftrb32.exe
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SFtrb Service = %WindowsDir%\cftrb32.exe
Dadurch wird Sobig.D bei jedem Start von Windows aktiviert.
Verbreitung per EMail:
Sobig.D benutzt die gleichen Versand-Routinen wie Sobig.C. Als Absender wird stets
admin@support.com
angegeben. Das Subject wird folgender Liste entnommen:
Re: Documents
Re: App. 00347545-002
Re: Movies
Application Ref: 456003
Re: Your Application (Ref: 003844)
Re: Screensaver
Re: Accepted
Your Application
Re: Application
Als Name des infizierten Attachments wird wahlweise
Document.pif
app003475.pif
movies.pif
ref_456.pif
Application844.pif
Screensaver.scr
Accepted.pif
Applications.pif
Application.pif
verwendet. Der Inhalt der Nachricht ist stets
See the attached file for details.
Die Adressen für den Versand infizierter EMails beschafft er sich aus Dateien, die folgende Extensions besitzen:
.wab
.dbx
.htm
.html
.eml
.txt
Ausbreitung in lokalen Netzwerken
Sobig.D infiziert Systeme mit offenen Shares. Seinen Code kopiert er in folgende Verzeichnisse:
Windows\All Users\Start Menu\Programs\Startup\
Documents and Settings\All Users\Start Menu\Programs\Startup
Aktualisierung von Sobig.D
Sobig.D überwachts Ports in denen er Nachrichten von seinem Autor erwartet. Diese Nachrichten enthalten URLs, von denen zusätzliche Komponenten heruntergeladen werden.
Variante: Sobig.E
Länge: 86528
Die Variante Sobig.E, die das erste Mal am 25.06.2003 gefunden wurde, verbreitet sich schnell. Sie verbreitet sich meist als EMail mit einem infizierten Attachment. Der Text der EMail lautet meist:
Please see the attached zip file for details
Der Name des Attachments ist häufig:
your_details.zip
Das Attachment enthält den Code des Wurms, der mit Aspack und TELock komprimiert wurde. Die Länge des Codes in dekomprimierter Form ist etwa 130 KByte. Die meisten Zeichenketten im Code wurden mit einem komplexen Algorithmus verschlüsselt.
Wird das Attachment aufgerufen, installiert sich der Wurm auf dem System. Er kopiert seinen Code unter dem Namen
WINSSK32.EXE
in das Windows-Verzeichnis und trägt Startup Keys in die Registry ein:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SSK Service" = "%windir%\winssk32.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SSK Service" = "%windir%\winssk32.exe
Dabei ist
%windir% das Windows-Verzeichnis. Dadurch wird Sobig.E in jeder Windows Session automatisch aktiv.
Zusätzlich generiert der Wurm die Datei
MSRRF.DAT
für interne Zwecke.
Sobig.E ist wie auch die anderen Varianten nur eine begrenzte Zeit aktiv. Diese endet am
14.07.2003 .
Verbreitung per EMail:
Die Subjects infizierter EMails werden von Wurm generiert. Der Inhalt der EMail ist stets gleich. Der Name des Attachments ist zufällig gewählt. Der Code des Wurms befindet sich in einer ZIP-Datei.
Bisher wurde folgendes gefunden. Subject:
Re: Application
oder
Re: Movie
Inhalt der EMail:
Please see the attached zip file for details.
Attachments:
your_details.zip
Diese ZIP-Datei enthält den Code des Wurms:
DETAILS.PIF
Die Adressen für den Versand infizierter EMails beschafft er sich aus Dateien, die folgende Extensions besitzen:
.WAB
.DBX
.HTM
.HTML
.EML
.TXT
Der Wurm manipuliert den Namen des Absenders infizierter EMails. Beispielsweise wird
support@yahoo.com
oder andere Adressen verwendet, die der Wurm im infizierten System findet.
Sobig.E besitzt eine eigene SMTP-Engine. Im Code befindet sich eine Liste von SMTP-Servern, die er für den Versand infizierter EMails verwendet.
Ausbreitung in lokalen Netzwerken:
Sobig.E durchsucht das Netzwerk und versucht Startup-Verzeichnisse in Remote Systemen zu finden:
\Windows\All Users\Start Menu\Programs\StartUp\
\Documents and Settings\All Users\Start Menu\Programs\Startup\
Findet der Wurm ein solches Verzeichnis, kopiert er seinen Code dorthin. Dadurch wird das Remote System nach dem nächsten Systemstart infiziert.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------