[Internet allg.] Viren, Würmer + Trojaner Übersicht 2003

Viren, Würmer + Trojaner Übersicht 2003

2003​

ÜBERSICHT:​

Januar 2003 ​

Wurm: Yaha.K
Wurm: Lirva.A
Wurmwarnung: Recory​

Februar 2003 ​

Wurm: Slammer, alias Sapphire, alias Helkern
Wurm: Lovgate (A,B,C,D) alias Supnot​

März 2003 ​

Wurm: CodeRed Neue Variante
Wurm: Lovgate Neue Variante​

April 2003 ​

Computer-Virus: setzt auf Angst vor SARS ​

Mai 2003 ​

Wurm: Kickin alias CYDOG
Wurm: Fizzer
Wurm: Palyh alias Mankx​

JUNI 2003 ​

Wurm: W32/Holar.H
Wurm: Sobig
Wurm: W32.Bugbear Neue Version
Update von www-windows-update.com installiert Trojaner!
Wurm: Sobig.E​

JULI 2003 ​

Fehler in Norton AntiVirus V7.61 Corporate
Wurm: MyLife
Virus: in Gestalt eines Kokosnuss-Spiels
Ein Trojaner verschickt Spam​

AUGUST 2003 ​

Wurm: Worpig
Wurm: Fakerr
MacroVirus: Xaler.B
E-Mail Wurm: Mimail
Wurm: Autorooter
Dieser Wurm hat es in sich: Msblast alias Lovsan
Wurm: Nachi.A bekämpft MSBlaster
Wurm: Sobig F. Version​

SEPTEMBER 2003 ​

Wurm: W32.Swen.A@mm
​

OKTOBER 2003 ​

Wurm: Sober (Sober.A)
​

NOVEMBER 2003 ​

Wurm: Mimail alias Mimail.C, Mimail.D, Mimail.A, Mimail., Mimail.G, Mimail.H, Mimail.F
Deutlicher Anstieg von Internet-Attacken
Neue Variante Mimail.J möchte Ihre Kreditkarten Infos
Sophos warnt vor schlüpfriger E-Mail
​

DEZEMBER 2003 ​

Mimail hängt Swen ab
Wurm Scold / W32/Scold-MM treibt sein Unwesen
Wurmwarnung: Sober.C
​

Ebenfalls ein Interessanter Beitrag​

Cleaner - Programme gegen verschiedene Mailwürmer ​

GRUß WIGGEL​

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
JANUAR 2003
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Yaha.K
ist, wie die anderen Varianten von Yaha, ein Massmailing-Wurm, der zum ersten Mal am 22.12.2002 gefunden wurde und inzwischen aus vielen Ländern berichtet wurde. Der Betreff, der Inhalt der E-Mail und der Name des Attachments werden zufällig generiert.

Die E-Mails berichten zum Beispiel von:
Enjoy this friendship Screen Saver and Check ur friends circle...

Beispiele für Namen der infizierten Attachments:
Screensavers.scr
Peace.scr
Body_Building.scr
Services.scr
VXer_The_LoveStory.scr
Hacker_The_LoveStory.scr
World_Tour.scr
up_life.scr
Sweetheart.scr
Sexy_Jenna.scr
Jenna_Jemson.scr
zDenka.scr
Ravs.scr
Free_Love_Screensavers.scr
KOF_Fighting.exe
KOF_Sample.exe

Löschen Sie alle Dateien, die den Wurm-Code enthalten und restaurieren Sie die Registry mit Hilfe von
ftp://ftp.europe.f-secure.com/anti-virus/tools/yaha_fix.reg
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Lirva.A
Verwandlungskünstler bedient E-Mail, ICQ, IRC und KaZaA

Computersicherheitsunternehmen wie Symantec, Sophos oder McAfee warnen vor dem Wurm Lirva.A, der bei den Mitteln seiner Verbreitung äußerst vielseitig ist: Der Wurm macht per E-Mail, ICQ, IRC, KaZaA seine Runden durch das Internet. Zusätzlich bedient sich Lirva.A auch offener Netzwerkverbindungen, um weitere Systeme zu infizieren. Bei der Verbreitung über E-Mail versucht der 32.766 Bytes große Wurm zusätzlich eine altbekannte Sicherheitslücke im Outlook auszunutzen. Trifft Livra.A auf ein alte, ungepachte Version der Software, so führt sich der Schädling bereits aus, wenn der Benutzer die Nachricht noch nicht geöffnet hat.

Livra.A führt unterschiedliche Betreffzeilen und eine zufällig gewählte Nachricht im Textfeld:
Das Attachment ist eine .exe-Datei, deren Bezeichnung sich allerdings ändern kann. Kommt der Wurm zur Ausführung trägt er sich in die Registry und die Autoexec.bat ein, so dass das Programm bei jedem Start des Computers zur Ausführung kommt.

Der Wurm überprüft ob der PC mit dem Internet verbunden ist:
Besteht keine Verbindung, so startet der Schädling eine Standard-Einwahl-Prozedur. Livra.A versendet sich an alle Kontakte im Outlook-Adressbuch sowie der ICQ-Buddylist. Zusätzlich legt der Wurm eine Kopie von sich in einem File mit zufällig gewähltem Dateinamen im KaZaA-Download-Verzeichnis an.

Der Wurm deaktiviert eine ganze Reihe von Sicherheitsfunktionen:
Daneben versucht das Programm die Kennwörter der Einwahldialoge unter Windows 95/98/98 SE/Me des Benutzers auszuspähen. Diese Informationen werden über das Internet an den Virenschreiber übermittel. Jeweils am 7. 11. und 24. des Monats versucht Livra.A den Browser zu starten und eine Internetverbindung zur Webseite http://www.avril-lavigne.com aufzubauen.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurmwarnung: Recory
Recory nutzt für seine Ausbreitung, dass die bekannte Mail-Ente jdbgmgr.exe weit verbreitet ist. Der Wurm überschreibt diese Datei. Deshalb ist die Aussage, dass die Datei jdbgmgr.exe harmlos ist, für Systeme, die vom Recory infiziert wurden, falsch.

Recory ist in Visual Basic programmiert. Er verbreitet sich mit Hilfe von IRC indem er die mIRC-Scripts manipuliert. Er versucht seinen Code in Shared Verzeichnisse von mehreren P2P und Mail-Programmen zu kopieren.

Der Code von Recory wurde mit UPX komprimiert. Die Datei-Namen in den Shared Verzeichnissen von P2P-Programmen sind:

The Lord of the Rings
The Two Towers (Fast-Downloader).pif
Die Another Day (Rocket Downloader).pif
Harry Potter and the Chamber of Secrets (Fast-Downloader).pif
Britney Spears Wallpaper.pif
Harry Potter and the Philosophers Stone (Movie-Downloader).pif

Die Programme, die angegriffen werden, sind zum Beispiel:
Kazaa
Kazaa Lite
ICQ
Bearshare
Edonkey2000
Morpheus
Grokster

Recory versendet infizierte E-Mails mit dem folgenden Text (vergleiche Text der Mail-Ente):
Hello readers,

I have just cleaned my computer from a highly damaging computer
virus Which is spreading rapidly through computer networks
worldwide.

There is one way to check to see if your computer is infected
with this virus.

Click the "Start" menu at the bottom left of your screen.
Click the "Find" or "Search" button.
Click the "Files or folders..." option.
Then once the search application starts, type "Jdbgmgr.exe"

If you have found this file, right-click on it and click the
"Properties" tab.
If the Properties menu has a picture of a bear on it,
your computer is infected with this virus. (Note that the
non-infected file picture has a hammer and a screwdriver shown
in it)

You may delete this file, but this is not the only file that the
virus infects, To remove this virus, I have included a virus
removal tool in the attachments that will scan all system files
and remove any infectious code from them.
This virus removal tool is very easy to use. If you have any
trouble with this tool, read the help menu that the removal tool
supplies.

If your computer is infected with this virus, It is strongly
recommended that you send this removal tool to as many people
as you can to help remove the traces of this virus worldwide.

Diese Aussage ist natürlich irreführend, wenn man annimmt, dass es sich um die Mail-Ente handelt.
Der Wurm kopiert sich in das Windows Startup-Verzeichnis als LoadWin.pif

In das Verzeichnis Windows\System32 kopiert er sich als:
MswinRegFiles32.com
CheckThis.pif
Jdbgmgr.exe
Msjpeg32.pif
Runsys32.bat
Regfiles.bat
Winbatch.bat
Msjava.pif
Filecmd32.com
Mswin32.pif
Winocx32.pif

In das Verzeichnis Windows\Java kopiert er sich als:
WinJava32.pif
Javatemp.bat
JavaStart.com

In das Windows-Verzeichnis kopiert er sich als:
Jdbgmgr.exe
TempFiles.pif
WinStartup.pif
Msupdater32.pif
WinStart32.pif
Winupd32.com
Regedit32.com
Winhlp32.com
Charmap.pif

In "Documents And Settings/[User]/Local Configuration\Temp"
Jdbgmgr.exe"

Und in Shared Laufwerken:
\Removal.exe" .

Als Subjects werden mit eventuell vorhergehenden "FW:" oder "FWD:"
Computer virus outbreak
Computer virus removal
About a severe computer virus
Severe computer virus alert
Virus removal tool
Severe alert
Attention employees
Alert
Readme
Important
Important Information
Update your virus scanners
Warning
Microsoft support
Knowledge Database alert
Virus warning
Virus alert
Help with removal
Removal tool
Urgent news

Als Namen des infizierten Attachments können folgende Namen auftreten;:
RemovalTool
FixTool
KillVir
KillVirus
RepairVirus
RepairVir
Cleaner
VirusFix
CleanVirus
CleanVir
VirFix
FixVir
FixVirus
VirusRemoval
RemoveVirus
WinProtect
VirusClean
VirusCleaner
ScanVir
ScanVirus
Repair
RepairWizard
RepairScan
Scanner
FileScanner
ScanFiles
FixFiles
FileFix
RepairTool
VirusRepair
VirRepair
RepairFiles
FileRepair
AntiVirus
AntiVir
RemoveVir
CleanFiles
FileClean
FileCleaner
FileRepairer
CleanTool
CleanerTool
FixComputer
RepairComputer
CleanComputer
FixComp
RepairComp
CleanComp
FixPC
RepairPC
CleanPC
FixSystem
RepairSystem
CleanSystem
FixSys
RepairSys
CleanSys
SystemFix
SystemClean
SystemRepair
SysFix
SysClean
SysRepair
Recovery

Als Extensions dieser Namen werden .exe, .pif oder .com verwendet.
In der Registry wird von Recory folgender Key eingetragen:

HKEY_CURRENT_USER\Software\Zed/[rRlf]\Recovery\1.1\
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
FEBRUAR 2003
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Slammer, alias Sapphire, alias Helkern
Der Wurm Slammer wurde das erste Mal am Morgen des 25.01.2003 gemeldet:

Danach breitete er sich sehr schnell weltweit in vielen Ländern aus. Er verursacht durch eine sehr große Anzahl von Network Packets eine Überlast in Servern und Routern. Dadurch wird der Verkkehr im Netzwerk deutlich spürbar langsamer.

Der Wurm wurde vermutlich in Assembler programmiert und optimiert.

Slammer besitzt keine Mass-Mailing Eigenschaften und versendet keine infizierten E-Mails. Er greift grundsätzlich nur Windows 2000 Server an, die Microsoft SQL Server einsetzen. Workstations bleiben unberührt. Der Wurm macht sich bei Benutzern nur durch die verringerte Geschwindigkeit des Netzwerkes bemerkbar.

Slammer speichert seinen Code, ähnlich wie der Code Red, nicht auf eine lokale Festplatte, sondern er ist nur speicherresident.

Der Wurm benutzt TCP und UDP Port 1434 und erzeugt einen Buffer Overflow im MS SQL Server 2000. Empfängt ein SQL Server ein Packet mit dem Code des Slammer, benutzt dieser die Sicherheitslücke des MS SQL Servers 2000, um den Wurm zu starten. Port 1434 sollte deshalb in der Firewall, wenn möglich, gesperrt werden, um einen Angriff auf Server und Router zu verhindern. Dies ist natürlich nicht möglich, wenn der SQL Server nach außen sichtbar sein muss.

Slammer benutzt die Funktion GetTickCount() von Win32API, um den Zufallsgenerator zu starten. Die Zufallszahlen werden benutzt, um nach verwundbaren SQL-Servern zu suchen. Der Wurm verwendet einen Socket, um seinen Code an verwundbare Server zu senden. Der Socket wird mit dem UDP Port 1434 des Remote Systems verbunden.

Der Wurm-Code enthält keinerlei Verzögerungsbefehle in seiner Suchschleife. Dadurch wird das Netzwerk - als Seiteneffekt - sehr hoch belastet. Slammer enthält keine explizite Schadfunktionen oder Zeichenketten.

Infizierte Systeme können durch einen Kaltstart gesäubert werden. Allerdings wird ein solcher Server sehr schnell erneut infiziert, wenn die Patches SP2 oder SP3 nicht installiert wurden.

Die Patches und weitere Informationen:

www.microsoft.com/technet/security/bulletin/MS02-061.asp

www.microsoft.com/technet/security/bulletin/MS02-039.asp

Slammer greift zwar nur MS SQL Server 2000 an, aber der SQL Server ist auch im MSDE 2000 Microsoft Data Engine 2000 enthalten. Außerdem installieren einige Anwendungen automatisch den MS SQL Server oder den MSDE 2000. Dazu gehören zum Beispiel:
Microsoft Biztalk Server
Microsoft Office XP Developer Edition
Microsoft Project
Microsoft SharePoint Portal Server
Microsoft Visio 2000
Microsoft Visual FoxPro
Microsoft Visual Studio.NET
Microsoft .NET Framework SDK
Compaq Insight Manager
Crystal Reports Enterprise
Dell OpenManage
HP Openview Internet Services Monitor
McAfee Centralized Virus Admin
McAfee Epolicy Orchestrator
Trend Micro Damage Cleanup Server
Websense Reporter
Veritas Backup Exec
WebBoard Conferencing Server

Prüfen Sie deshalb, ob Slammer auf Ihrem System bereits aktiv ist. Für diesen Test können Sie das Utility F-slammer.exe einsetzen:
ftp://ftp.f-secure.com/anti-virus/tools/f-slammer.zip

Vor dem Einsatz dieses Programms lesen Sie bitte die Hinweise in:
ftp://ftp.f-secure.com/anti-virus/tools/f-slammer.txt
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Lovgate (A,B,C,D) alias Supnot
Lovgate ist ein Mass-Mailing Wurm, der zusätzlich Backdoor-Eigenschaften besitzt. Er wurde das erste Mal im Februar 2003 gefunden.

Variante: Lovgate.A
Der wesentliche Unterschied dieser Variante gegenüber Lovgate.B besteht darin, dass er keine Antworten auf EMails, die in der inbox stehen, sendet.

Variante: Lovgate.B
Lovgate.B ist ein Wurm mit Mass-Mailing Eigenschaften, der sich auch in Netzwerken mit Hilfe von Windows Shares ausbreitet. Er besitzt zusätzlich eine Backdoor-Routine, die den Port 10168 überwacht. Dadurch kann ein Angreifer das infizierte System manipulieren. Informationen, wie z.B. Passworte werden an
hello_dll@163.com
hacker117@163.com
versandt.

Alle drei Varianten A, B und C generieren einen Satz von DLLs des Backdoors, das den Port 1192 benutzt.

Lovgate benutzt für den Versand eine eigene SMTP Engine, die eine Verbindung zu smtp.163.com
herstellt. Dies ist vermutlich ein chinesisches Web Portal.
Lovgate kopiert seinen Code, der mit ASPack komprimiert wurde, unter Namen wie:

fun.exe
humor.exe
docs.exe
s3msong.exe
midsong.exe
billgt.exe
Card.EXE
SETUP.EXE
searchURL.exe
tamagotxi.exe
hamster.exe
news_doc.exe
PsPGame.exe
joke.exe
images.exe
pics.exe

in Shares und Shares Verzeichnisse. Sind die Shares mit einem Passwort geschützt, versucht der Wurm mit den Benutzernamen
guest
Adminsitrator

und den Passworten
"" (leeres Passwort)
"gust"
"123"
"321"
"123456"
"654321"
"adminstrator"
"admin"
"111111"
"666666"
"888888"
"abc"
"abcdef"
"abcdefg"
"12345678"
"abc123"

Weiterhin kopiert der Wurm seinen Code unter folgenden Namen:

WinGate.exe
WinRpcsrv.exe
syshelp.exe
winprc.exe
rpcsrv.exe

in das Windows Systemverzeichnis.
Die Informationen, die Lovgate.B sammelt, werden in folgende Dateien gespeichert:

win32pwd.sys
win32add.sys

Lovgate manipuliert Konfigurations Dateien von Windows und die Registry. Er generiert den Registry Key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

mit folgenden Subkeys:
"WinGate initialize" = "%winsysdir%WinGate.exe -remoteshell"
"syshelp" = "%winsysdir%syshelp.exe"
"Module Call initialize" = "rundll32.exe reg.dll ondll_reg"

Dabei steht %winsysdir% für das Windows Systemverzeichnis.
Durch den Registry Eintrag

HKEY_CLASSES_ROOT\txtfile\shell\open\command
@ = %winsysdir%\winprc.exe "%1"

wird der Wurm bei jedem Doppelklick auf eine Text-Datei aufgerufen. Der Benutzer bemerkt davon nur etwas, wenn er nicht NotePad benutzt.
In der WIN.INI Datei trägt er folgendes ein:

[Windows]
Run=rpcsrv.exe

Lovgate.B richtet unter den Namen:
%winsysdir%\ily.dll
%winsysdir%\task.dll
%winsysdir%\reg.dll

DLLs ein, die Tastatur-Eingaben erfassen und an den Autor des Wurms schicken.
Lovgate.B benutzt zwei unterschiedliche Technik für den Versand infizierter EMails. Mit Hilfe der MAPI Funktion von Windows Antworten auf EMails, die er in der inbox findet. Diese EMails enthalten den Text:

I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion!

Weiterhin sucht er in *.ht* Dateien nach Adressen, an die er infizierte EMails schickt. Solche enthalten folgende Informationen:
Betreff:

Documents
Roms
Pr0n!
Evaluation copy
Help
Beta
Do not release
Last Update
The patch
Cracks!

Inhalt:
Send me your comments...
Test this ROM! IT ROCKS!.
Adult content!!! Use with parental advisory.
Test it 30 days for free.
I'm going crazy... please try to find the bug!.
Send reply if you want to be official beta tester.
This is the pack
This is the last cumulative update.
I think all will work fine.
Check our list and mail your requests!

Namen des Attachments:
Docs.exe
Roms.exe
Sex.exe
Setup.exe
Source.exe
_SetupB.exe
Pack.exe
LUPdate.exe
Patch.exe
CrkList.exe

Variante: Lovgate.C

Einige Probleme beim versand infizierter EMails wurde beseitigt. Die Erfassung von Tastatur-Eingaben wurde entfernt.

Variante: Lovgate.D

Diese Variante ist gegenüber B und C einfacher. Beispielweise wurde der Versuch mit primitiven Passworten Zugriff auf Shares zu erhalten gestrichen.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
MÄRZ 2003
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: CodeRed Neue Variante
Der Wurm Bady alias CodeRed* nutzt ein Sicherheitsloch im Microsoft Internet Information Server (IIS) für seine Ausbreitung. Er ist ausschließlich unter Windows NT, Windows 2000 und Windows XP Beta funktionsfähig. Ende Juli 2001 waren zwei Varianten des Wurms bekannt.

Wenn der Wurm sich auf einem Server installiert, sucht er zunächst nach anderen verwundbaren Systemen und infiziert diese. Während einer gewissen Zeit verbreitet sich CodeRed nur. Danach startet er dDoS-Angriffe (direct Denial-of-Service) zwischen 20:00 und 24:00 Uhr gegen den Web-Server des Weißen Hauses:

ww1.whitehouse.gov

Schließlich beendet er seine Aktivitäten auf dem infizierten System.
Microsoft bietet einen Patch für ein Download an, mit dem die Sicherheitslücke geschlossen werden kann:

http://www.microsoft.com/technet/security/bulletin/ms01-033.asp

CodeRed speichert seinen Code nicht auf einer Festplatte, sondern legt ihn nur im Speicher ab. Aus diesem Grund muss ein Kaltstart des betreffende Servers ausgeführt werden, um den Wurm zu entfernen. Anschließend muss ein Download des Patches und seine Installation gestartet werden. Unter Umständen hat der Wurm die erste Seite des infizierten Servers manipuliert. Folgender Text wird auf dieser Seite angezeigt:

Welcome to http://www.worm.com
Hacked by Chinese!

In einem solchen Fall muss diese Web-Seite von dem verantwortlichen Administrator restauriert werden.
Der Wurm breitet sich offensichtlich sehr schnell aus. Innerhalb weniger Tage wurde etwa 225.000 IIS Server infiziert.

Wichtig: Der Wurm breitet sich zwar selbsttätig, also ohne "Hilfe" das zuständigen Administrators aus, aber er setzt folgendes voraus: Angegriffen werden können nur Server, die unter Windows NT, Windows 2000 oder Windows XP Beta eingesetzt werden, die IIS installiert haben und auf denen das oben genannte Patch von Microsoft noch nicht installiert wurde. Weiterhin richten sich die dDoS-Angriffe ausschließlich auf den Web-Server der amerkanischen Regierung (siehe oben).

Entgegen dem Eindruck, der leider Ende Juli durch viele Meldungen in den Medien entstanden ist, besteht für die meisten PC-Anwender keine Gefahr. Lediglich die Unternehmen, die IIS einsetzen, sollten den Patch von Microsoft holen und installieren.

Variante: CodeRed.C
Alias: CodeRed_Gen_3 , Trojan.Win32/VirtualRoot

Diese Variante nutzt die gleiche Sicherheitslücke wie die beiden ersten Varianten (Speicher-Überlauf). CodeRed.C ist seit dem 04.08.2001 verbreitet. Im Unterschied zu den beiden ersten Varianten installiert dieser Wurm auf infizierten Systemen auch ein Backdoor anstelle der Routine für die dDoS-Angriffe. Mit Hilfe dieses Backdoors kann ein Hacker Zugriff auf infizierte IIS-Web-Server erhalten.

Dieser Wurm kann von Anti-Viren-Programmen nicht erkannt werden, weil der CodeRed seinen Code nur im Speicher ablegt und nicht auf zum Beispiel die Festplatte ablegt. Bei seiner Installation kopiert er das Backdoor auf die Festplatte. Nur dieses Backdoor kann von einem (aktuellen) Anti-Viren-Programm erkannt und gemeldet werden.

Variante: CodeRed.F

Die neue Variante CodeRed.F ist seit dem 11.03.2003 "In-the-Wild". Der erste CodeRed breitete sich vor 18 Monaten weltweit sehr schnell aus.

CodeRed.F benutzt für seine Verbreitung die gleichen Sicherheitslücken des MS Web-Servers. Er wird deshalb voraussichtlich nur wenig Systeme infizieren. Vor allem werden wohl nur Systeme infiziert, die nicht durch eine Firewall geschützt werden.

CodeRed.F ist weitgehend mit CodeRed.C identisch. Nur zwei Bytes unterscheiden sich.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Lovgate Neue Variante
Die Variante Lovgate.F enthält gegenüber den vorhergehenden Versionen eine längere Liste von Passworten für die Einbruchsversuche.

Name: Lovgate
Alias: Supnot
Typ: Wurm
Ursprung: China

Lovgate ist ein Mass-Mailing Wurm, der zusätzlich Backdoor-Eigenschaften besitzt. Er wurde das erste Mal im Februar 2003 gefunden.

Variante: Lovgate.A

Der wesentliche Unterschied dieser Variante gegenüber Lovgate.B besteht darin, dass er keine Antworten auf EMails, die in der inbox stehen, sendet.

Variante: Lovgate.B

Lovgate.B ist ein Wurm mit Mass-Mailing Eigenschaften, der sich auch in Netzwerken mit Hilfe von Windows Shares ausbreitet. Er besitzt zusätzlich eine Backdoor-Routine, die den Port 10168 überwacht. Dadurch kann ein Angreifer das infizierte System manipulieren. Informationen, wie z.B. Passworte werden an Versandt:

hello_dll@163.com
hacker117@163.com

Alle drei Varianten A, B und C generieren einen Satz von DLLs des Backdoors, das den Port 1192 benutzt.

Lovgate benutzt für den Versand eine eigene SMTP Engine, die eine Verbindung zu smtp.163.com herstellt. Dies ist vermutlich ein chinesisches Web Portal.
Lovgate kopiert seinen Code, der mit ASPack komprimiert wurde, unter Namen wie:

fun.exe
humor.exe
docs.exe
s3msong.exe
midsong.exe
billgt.exe
Card.EXE
SETUP.EXE
searchURL.exe
tamagotxi.exe
hamster.exe
news_doc.exe
PsPGame.exe
joke.exe
images.exe
pics.exe

in Shares und Shares Verzeichnisse. Sind die Shares mit einem Passwort geschützt, versucht der Wurm mit den Benutzernamen:
guest
Adminsitrator

und den Passworten:
"" (leeres Passwort)
"gust"
"123"
"321"
"123456"
"654321"
"adminstrator"
"admin"
"111111"
"666666"
"888888"
"abc"
"abcdef"
"abcdefg"
"12345678"
"abc123"

Weiterhin kopiert der Wurm seinen Code unter folgenden Namen:

WinGate.exe
WinRpcsrv.exe
syshelp.exe
winprc.exe
rpcsrv.exe

in das Windows Systemverzeichnis.
Die Informationen, die Lovgate.B sammelt, werden in folgende Dateien gespeichert:

win32pwd.sys
win32add.sys

Lovgate manipuliert Konfigurations Dateien von Windows und die Registry. Er generiert den Registry Key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

mit folgenden Subkeys:
"WinGate initialize" = "%winsysdir%WinGate.exe -remoteshell"
"syshelp" = "%winsysdir%syshelp.exe"
"Module Call initialize" = "rundll32.exe reg.dll ondll_reg"

Dabei steht %winsysdir% für das Windows Systemverzeichnis.
Durch den Registry Eintrag:

HKEY_CLASSES_ROOT\txtfile\shell\open\command
@ = %winsysdir%\winprc.exe "%1"

wird der Wurm bei jedem Doppelklick auf eine Text-Datei aufgerufen. Der Benutzer bemerkt davon nur etwas, wenn er nicht NotePad benutzt.
In der WIN.INI Datei trägt er folgendes ein:

[Windows]
Run=rpcsrv.exe

Lovgate.B richtet unter den Namen:
%winsysdir%\ily.dll
%winsysdir%\task.dll
%winsysdir%\reg.dll

DLLs ein, die Tastatur-Eingaben erfassen und an den Autor des Wurms schicken.
Lovgate.B benutzt zwei unterschiedliche Technik für den Versand infizierter EMails. Mit Hilfe der MAPI Funktion von Windows Antworten auf EMails, die er in der inbox findet. Diese EMails enthalten den Text:

I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion!

Weiterhin sucht er in *.ht* Dateien nach Adressen, an die er infizierte EMails schickt. Solche enthalten folgende Informationen:
Betreff:
Documents
Roms
Pr0n!
Evaluation copy
Help
Beta
Do not release
Last Update
The patch
Cracks!

Inhalt:
Send me your comments...
Test this ROM! IT ROCKS!.
Adult content!!! Use with parental advisory.
Test it 30 days for free.
I'm going crazy... please try to find the bug!.
Send reply if you want to be official beta tester.
This is the pack
This is the last cumulative update.
I think all will work fine.
Check our list and mail your requests!

Namen des Attachments:
Docs.exe
Roms.exe
Sex.exe
Setup.exe
Source.exe
_SetupB.exe
Pack.exe
LUPdate.exe
Patch.exe
CrkList.exe

Variante: Lovgate.C

Einige Probleme beim versand infizierter EMails wurde beseitigt. Die Erfassung von Tastatur-Eingaben wurde entfernt.

Variante: Lovgate.D

Diese Variante ist gegenüber B und C einfacher. Beispielweise wurde der Versuch mit primitiven Passworten Zugriff auf Shares zu erhalten gestrichen.

Variante: Lovgate.F

Lovgate.F ist gegenüber den vorhergehden Varianten erweitert. Sie enthält eine längere Liste von Passworten. Diese wird benutzt, wenn versucht wird, Zugriff auf Shared Resources zu erhalten:

(leeres Passwort)
123
321
123456
654321
guest
administrator
admin
111111
666666
888888
abc
abcdef
abcdefg
12345678
abc123
root
1
111
1234
!@#$
asdf
asdfgh
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
sql
server
passwd
password
12345
54321
pass
0
000000
00000000
007
110
11111111
12
121212
123123
1234567
123456789
123abc
123asd
2002
2003
2600
88888888
a
aaa
abcd
Admin
admin123
alpha
computer
database
enable
god
godblessyou
home
Internet
Login
login
love
mypass
mypass123
mypc
mypc123
oracle
owner
Password
pc
pw
pw123
pwd
secret
sex
super
sybase
temp
temp123
test
test123
win
xp
xxx
yxcv
zxcv
Administrator
Guest

Lovgate.F besitzt ansonsten weitgehend die gleichen Funktionen wie die vorhergehenden Varianten. Er benutzt den gleichen SMTP-Server und die Standard Windows Mail Konfiguration.
Lovgate.F kopiert einige DLL-Dateien mit unterschiedlichen Namen. Beim Versand infizierter EMails per MAPI verwendet er folgende Datei-Namen:

I am For u.doc.exe
Britney spears nude.exe.txt.exe
joke.pif
DSL Modem Uncapper.rar.exe
Industry Giant II.exe
StarWars2 - CloneAttack.rm.scr
dreamweaver MX (crack).exe
Shakira.zip.exe
SETUP.EXE
Macromedia Flash.scr
How to Crack all gamez.exe
Me_nude.AVI.pif
s3msong.MP3.pif
Deutsch BloodPatch!.exe
Sex in Office.rm.scr
the hardcore game-.pif

Beim Kopiern seines Codes nach Shared Resources benutzt er folgende Namen:
MSN Password Hacker and Stealer.exe
SIMS FullDownloader.zip.exe
Winrar + crack.exe
Star Wars II Movie Full Downloader.exe
MoviezChannelsInstaler.exe
Age of empires 2 crack.exe
CloneCD + crack.exe
Sex_For_You_Life.JPG.pif
AN-YOU-SUCK-IT.txt.pif
100 free essays school.pif
Mafia Trainer!!!.exe
Panda Titanium Crack.zip.exe
How To Hack Websites.exe
The world of lovers.txt.exe
autoexec.bat
Are you looking for Love.doc.exe
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
APRIL 2003
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Computer-Virus: setzt auf Angst vor SARS

Der britische Hersteller von Virenschutzsoftware Sophos warnt vor einem Computer-Wurm, der sich die Besorgnis der Benutzer über die Lungenkrankheit SARS zunutze macht. Der Virus wird von Sophos als Coronenx-A bezeichnet und versucht die Empfänger der verseuchten Nachricht mit Informationen über die Krankheit zum Öffnen des Attachments zu bewegen.

Das Attachment führt unterschiedliche Namen wie "Severe Acute Respiratory Syndrome", "SARS Virus" und Hongkong.exe. Der Virus nutzt einen eigenen SMTP-Server für die Weiterverbreitung und befällt ausschließlich Windows-Systeme. Die Verbreitung von Coronex-A ist bisher gering.

"Der Wurm ist eine Demonstration dazu, wie Virenschreiber mit psychologischen Tricks versuchen, ihre Schöpfungen zu verbreiten", erklärte Graham Cluley, Senior Technology Consultant für Sophos Anti Virus. Er ruft andere Hersteller von Sicherheitslösungen dazu auf, den Wurm mit Coronex - nach den als Verursacher verdächtigten Coronaviren - und nicht als SARS-Virus zu bezeichnen. Die Berichterstattung über dem Computerwurm soll nicht noch zusätzlich zur allgemeinen Beunruhigung über die Krankheit beitragen, so Cluley.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
MAI 2003
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Kickin alias CYDOG
Kickin ist ein Wurm mit Mass-Mailing-Eigenschaften, der sich seit dem 07.05.2003 ausbreitet. Der Code des Wurms wurde mit UPX komprimiert. Kickin ist offensichtlich mit Varianten von Cydog verwandt. Kickin wurde jedoch mit Visual C erneut programmiert. Kickin kann sich über EMail, IRC und über die P2P-Netzwerke Kazaa Edonkey, Bearshare und Morpheus ausbreiten.

Durch die Verwandtschaft wird Kickin auch mit unterschiedlichen Varianten-Bezeichnungen erwähnt: Cydog.C, Cydog.D.

Wird Kickin aufgerufen, kopiert er seinen Code mit den attributen Hidden und System mit dem Namen:

CYBERWOLF.EXE

in das Windows-Verzeichnis. Zusätzlich kopiert er sich mit unterscheidlichen Namen wie:
mapi32.drv
format.com
SARS-Guide.scr
MsnMsgs.exe
Setup.exe
Virtual Joke.scr
Saddam-the real pics.scr
Christina Aguilera-The most beautiful girl on earth.scr
Soccer Database.exe
OutWar Demo.exe
Love.scr
Last Summer.scr
Hotmail Hacker.exe
FixSql.com
Q30215HOTFIX.pif
Api Hooking-Tutorial.exe
Kernel32.exe
Magical-Screensaver.scr

in das Windows System-Verzeichnis:

Kernel32.ex

erhält die Attribute Hidden und System. Der Standard EXE Startup Key in der Registry wird so manipuliert, dass Kernel32.exe automatisch aufgerufen wird, wenn eine EXE-Datei aufgerufen wird:
[HKCR\exefile\shell\open\command]
@ = "%winsysdir%\Kernel32.exe"%1"%*""

In der Registry fügt der Wurm Startup Keys für seinen Code ein:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"CyberWolf" = "%windir%\CyberWolf.exe"
"Windows Kernel" = "%winsysdir%\Kernel32.exe"

Dabei ist %windir% das Windows Verzeichnis und %winsysdir% das Windows System-Verzeichnis. Weiterhin manipuliert er eine Registry-Einträge. Dadurch werden die Extensions von Dateien nicht angezeigt und Dateien, die die Attribute Hidden und System besitzen, werden nicht angezeigt.
Kickin breitet sich hauptsächlich über infizierte EMails aus. Die Adressen beschafft er sich von Yahoo Messenger, NET Messenger, ICQ, Windows Adressbuch und aus HTML- und EML- Dateien.

Findet er auf dem infizierten System keinen SMTP-Server, versucht er eine Verbindung zu anderen SMTP-Server aufzubauen.

Infizierte EMails werden mit unterschiedlichen Subjects und Nachrichten versandt. Auch der Name für das Attachment ist unterschiedlich.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Fizzer
Bei Fizzer handelt es sich um einen komplexen Wurm. Er verbreitet sich per E-Mail und in Peer to Peer Netzwerken (Kazaa). Der Wurm enthält eine IRC-Backdoor, ein Tool für Denial of Service-Angriffe, einen Trojaner, der Daten sammelt, einen HTTP-Server und weitere Komponenten. Er kann mehrere Anti-Virus-Programme deaktivieren und sich auch automatisch aktualisieren.

Der Wurm verbreitet sich per E-Mail. Wenn der Anhang geöffnet wird, wird die Datei ISERVC.EXE in einem temporären Verzeichnis erstellt und aktiviert. Diese Datei wird unter gleichem Namen und als INITBAK.DAT in das Windows-Verzeichnis kopiert. Dort werden zusätzlich die Dateien ISERVC.DLL und PROGOP.EXE erzeugt.

ISERVC.DLL speichert die Tastatureingaben für den Trojaner und PROGOP.EXE ist der reine Code des Droppers. Vor dem Versand per E-Mail stellt dieser seine Datei neu zusammen.

Der Wurm trägt sich zum Start in die Registry unter

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SystemInit = %windir%\iservc.exe

ein, wobei %windir% das Windows-Verzeichnis ist. Ausserdem wird das Öffnen von Text-Dateien verändert:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
@ = %windir%\ProgOp.exe 0 7 '%windir%\NOTEPAD.EXE %1' '%windir%\initbak.dat' '%windir%\ISERVC.EXE'

Prozesse werden gestoppt, wenn Sie folgende Texte enthalten:
NAV
SCAN
AVP
TASKM
VIRUS
F-PROT
VSHW
ANTIV
VSS
NMAIN

Der Wurm enthält folgende Nachricht:
I sent this program (Sparky) from anonymous places on the net.
The way to gain a good reputation is to endeavor to be what you desire to appear.
There is only one good, knowledge, and one evil, ignorance.
Watchin' the game, having a bud.
Did you ever stop to think that viruses are good for the
economy? Maybe the primary creators of the world's worst viruses
are the companies that make the Anti-Virus software.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Palyh alias Mankx
Ein brandneuer Wurm feiert derzeit fröhliche Urständ' und dürfte in den nächsten Stunden tausende Windows-Systeme befallen. Er kommt per E-Mail-Attachment mit .PIF- oder .PI-Ednung und ist etwa 50KB groß, allerdings wird in vielen Windows-Installationen die Dateiendung nicht angezeigt. International wurde er auf zwei verschiedene Namen getauft, "Palyh" und "Mankx". "Wir haben innerhalb weniger Minuten 100 infizierte Mails erhalten", berichtet Ikarus-CEO Joe Pichlmayr, "Das droht ein Großer zu werden. Ich gehe davon aus, dass wir in Kürze einige Tausend infizierte Mails abgefangen haben werden."

Der Schädling nutzt keine Sicherheitslücke in der Systemsoftware, sondern mangelndes Gefahrenbewusstsein von Usern aus: Er kann nur durch Öffnen des Attachments aktiviert werden. Um die User dazu zu verleiten, tarnt er sich mit der Absenderadresse "support@microsoft.com" als Nachricht aus Redmond.

Palyh ist ein Wurm mit Mass-Mailing-Eigenschaften, der sich auch über Windows Network Shares verbreitet.

Am 18. Mai 2003 wurde der Wurm bereits aus USA, England, Dänemark und Neuseeland gemeldet.

Der Code des Wurms befindet sich in einer PE EXE-Datei. Er wurde in Microsoft Visual C++ programmiert und mit UPX komprimiert. Die Länge des Codes beträgt etwa 110 KByte und in komprimierter Form 49.000 bis 54.000 KByte.

Der Wurm wird aktiv, wenn das infizierte Attachment zum Beispiel durch einen Doppelklick aufgerufen wurde. Dadurch installiert sich der Wurm im System und beginnt mit seiner Ausbreitung.

Palyh kopiert seinen Code unter dem Namen:

msccn32.exe

in das Windows-Verzeichnis und trägt Autorun-Keys in die Registry ein:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
System Tray = %WindowsDir%\msccn32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System Tray = %WindowsDir%\msccn32.exe

Manchmal kopiert der Wurm seinen Code in ein falsches Verzeichnis, wie zum Beispiel das aktuelle oder das Root-Verzeichnis. In diesem Fall bleibt Palyh nur bis zum nächsten Start von Windows aktiv.

Verbreitung über EMail:

Palyh beschafft sich EMail-Adressen für den Versand infizierter EMails aus Dateien in allen Verzeichnissen mit den Extensions .TXT, .EML, .HTML, .HTM, .DBX und .WAB. Für den Versand benutzt er den als Standard eingetragenen SMTP-Server.

Palyh versendet infizierte EMails mit unterschiedlichem Inhalt. Alle erwecken den Eindruck, dass sie von

support@microsoft.com

kommen. Der Inhalt infizierter EMails wird folgenden Listen entnommen:
From:

support@microsoft.com

Subject:
Re: My application
Re: Movie
Cool screensaver
Screensaver
Re: My details
Your password
Re: Approved (Ref: 3394-65467)
Approved (Ref: 38446-263)
Your details

Nachricht:
All information is in the attached file.

Name des Attachments:
your_details.pif
ref-394755.pif
approved.pif
password.pif
doc_details.pif
screen_temp.pif
screen_doc.pif
movie28.pif
application.pif

Zusätzlich erzeugt der Wurm im Windows-Verzeichnis die Datei:
hnks.ini

Diese Datei enthält alle EMail-Adressen, die der Wurm gefunden hat. Sie sollten diese Personen bzw. Unternehmen warnen, wenn Ihre Sytem infiziert wurde.
Verbreitung über Netzwerke

Palyh sucht nach allen Netzwerk Resources, also nach anderen an das Netzwerk angeschlossenen Systemen. Wenn er auf diese Systeme zugreifen kann, kopiert er seinen Code in deren Autstart-Verzeichnis:

Windows\All Users\Start Menu\Programs\StartUp\
Documents and Settings\All Users\Start Menu\Programs\Startup\

Updates:

Palyh holt von vier Web-Sites Programme und startet diese. Dadurch kann sich der Wurm aktualisieren oder zum Beispiel Trojaner installieren.

Der Wurm breitet sich nur bis zum 31. Mai 2003 aus. Danach versucht er nur noch Dateien herunterzuladen und aufzurufen.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
JUNI 2003
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: W32/Holar.H
Offenbar betreibt derzeit ein besonders fieser Code sein Unwesen in der Computerwelt. Das Labor des Duisburger Virenschutzanbieters Panda Software habe von dem neu aufgetauchten Wurm berichtet, war bei „de.internet.com“ am Wochenende zu lesen. Er trage die Bezeichnung Holar.H beziehungsweise W32/Holar.H.

Der Verfasser des schmutzigen Codes versuche sich das Interesse der Nutzer zu erschleichen, indem sein Attachment als Übersetzungsprogramm für über 100 Sprachen angekündigt werde, das im Namen der Liebe weiter verbreitet werden solle.

Die Details:

Name: Holar
Typ: Wurm
Länge: 56614

Holar ist ein Wurm, der sich über EMails und Kazaa ausbreitet.

Variante: Holar.H

Holar.H wurde das erste Mal am 28.05.2003 gefunden. Er breitet sich über EMail und über Kazaa in Peer-to-Peer Netzwerken (P2P) aus. Der Wurm wurde in Visual Basic programmiert und mit UPX komprimiert.

Ausbreitung über EMail:

Holar.H durchsucht Dateien mit den Extensions

htm
html
txt
dbx

nach EMail-Adressen. Für den Versand benutzt der Wurm eine eigene SMTP Engine. Er versendet infizierte EMails an die gefundenen Adressen.
Als Absender der infizierten EMails verwendet er Adressen, die er als Standard auf dem System des infizierten Benutzers findet.

Der Inhalt der infizierten EMails wird zufällig aus der folgenden Liste entnommen.

Subject: '''*< Love Speaks it all >*'''

Body: Try this great program allowing u to translate 100 languages.
just write a passage in english and chose a language to get the traslation
one of my friends used it with his arabian gf and it worked successfully
so , Now we can say ' Love Speaks it All '

Subject: Co0o0o0o0oL

Body: i thing the subject is enough to describe the attached file !
check it out and replay your opinion
Cya

Subject: Fw:

Body: You're gonna love it
delete it after reading , Professor

Subject: Heeeeeeeeeeeeeeeey

Body: i've got this surprise from a friend
it really deserves a few minutes of your time.
Bye

Subject: Wussaaaaaaaap?

Body: Should i email u first to email me?
u don't know how much ur emails mean to me.
i wish u like this email and plzz don't forget me
Bye

Subject: WoW But not for NoW

Body: coz i couldn't get the other part of it ,
any way , check it out
having alil thing is better than nothing

Subject: y0 Ain't Got Shyt !

Body: All u can get is burning ur self
Coz all we can do is to watch, nothing for us to touch

Subject: Why Do We FOk?

Body: let me answer ,,,
hummmmmmmmm
Coz we Burn Our selves by watching ******** ** like the one i attached

Subject: Hi

Body: i'v got it from a group called
it really fits us , check it out carefully
bye
Subject: Q <--- what does it look likt?

Body: Hummm , It looks like something men can't live without ha? did u get it? if not , enjoy ur Eyes by Seeing it this one is deferent!

Subject: Hiiiii

Body: you seem to be mad @ me coz i didn't send u anything for along time,
i didn't forget u , but i was busy , i've got all of ur emails
thanx and i hope u accept this one as an apology.

Subject: Heeelllooo , anybody home????

Body: i tried many times to send u this email but ur account was out of
storage as i think any way , make sure that i didn't and i won't forget u

Cya Forgotten

Subject: Why did u send me this shyt?

Body: THANX BUT I DON'T ACCEPT SEX MATERIALS FROM STRANGERS.
I SAW THEM N I WONDERED HOW U COULD DO SO ?
I REATTACHED THE SHYT U SENT
PLEASE DON'T EMAIL ME ,

Subject: Re:Hi

Body: No thanx , keep it for you + _CR_LF_ + Bye
<
Subject: Lo0o0o0o0o0o0o0o0o0o0o0o0oL

Body: Measure your intelligence , the power of your mind and the speed of
your reaction by answering several Qs , don't forget to send me your mark.
I took 3.5/10
Let's see who is more intelligent than the other!
Good Luck

Subject: hurry up !!!

Body: this is the last one i could find ,
Don't forget , send me the project in a zipped file
Bye

Subject: To Early To Have S*x!

Body: When i saw it i didn't believe that she was only 8 yrs old.
but when i saw the blood and heard the voice of her i got Shocked

Subject: Fw:Send it to all of the ppl u love

Body: Don't Believe ur self, I don't Love Ya
But i Don't know why i sent this to u.
Make use of it , Bye

Subject: Surpise !

Body: I'm in a harry ,
Send me any clip with voice like the one i attached .
And stop sending the booooring pictures
Cya

Subject: For your elegant Taste

Body: elegant ppl should satisfy thier taste with elegant things

Subject: Again?

Body: I sent this email to another body and he replayed saying Thanx !!
always write your email wrongly.
Hummm, if u like it replay to me , and don't forget to write ur signature
to make sure that i didn't send the email to a wrong one
Bye

Subject: Who are you??????

Body: Hi
i'm fine , thanx for asking
and thanx for the nice attachements.
but unfortunately, i don't remember you
i will be waiting for u emaill to remind me of your self.
Hummm , i hope u accept this show as an apology.
bye

Subject: The Spanish Beauty

Body: it's a mix of the Arabian beauty & the european grace !
satisfy your eyes with the beauty that u have never seen

Subject: I've Got it

Body: I've got it from KaZaA network ,
it seems not to be full but that's all i could find
bye

Subject: Helloooooooo

Body: I've got your email , but you forgot to upload the attachments.
Don't be selfish , i sent you all the files i have, send me anything
bye
Subject: If u are booooored ...

Body: i found it in my Recycled , i know u love this kind of thing

From: Dispatch@McAfee.com

Subject: Virus Alert !

Body: Dear User,
McAfee.com Has recieved an infected message from you .We believe that you
are infected with Win32/HaWawi@MM Virus.
Please download the attached tool (ToolAv01w32) which will help you to
clean your PC.
For more information :
*Create an email addressed to virus_research@nai.com.
~U Your name, phone number, address, and email address
~U Operating system
~U Antivirus program
~U Anti virus engine version (e.g. 4.1.20)
~U DAT file version (e.g. 4.0.4140)
~U Browser version
~U Nature of problem

Verbreitung über Kazaa
Holar.H kopiert seinen Code unter folgenden Namen:

Hot_Show.pif
Short_vClip.pif
Beauty_VS_Your_FaCe.pif
Endless_life.pif
Hearts_translator.pif
Shakiraz_Big_ass.pif
Sweet_but_smilly.pif
Broke_ass.pif
Lo0o0o0o0oL.pif
Gurls_Secrets.pif
Tedious_SeX.pif
Leaders_Scandals.pif
HaWawi_N_Hawaii.pif
Come_2_Cum.pif
Tears_of_Happiness.pif
White_AmeRica.pif
Famous_PpL_N_Bad_Setuations.pif
XxX_Mpegs_Downloader.pif
Teenz_Raper.pif
Real_Magic.pif
The_Truth_of_Love.pif
unfaithful_Gurls.pif
How_to_improve_ur_love.pif
AniMaL_N_Burning_Ladies.pif
Aint_it_Funny.pif
ToolAv01w32.pif

in das Sharing Verzeichnis von Kazaa, falls der Kazaa Client auf dem System installiert ist. Durch diese Namen versucht der Wurm, andere Benutzer zu motivieren, die infizierten Dateien zu holen und zu starten.
Infektion

Während der Infektion kopiert Holar.H zwei Dateien in das Windows Verzeichnis:

explore.exe - Body des Wurms
SMTP.ocx - SMTP Extension für Visual Basic Applications

Außerdem trägt er sich mit
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run\Explore

in die Registry ein, damit er bei jedem Systemstart automatisch aktiviert wird.
Schadfunktion

Holar.H richtet in der Registry einen Zähler ein:

HKEY_Current_User\DeathTime

Erreicht dieser Zähler den Wert 30, versucht er alle Dateien im Laufwerk C: zu löschen. Er gibt folgende Meldungen in mehreren Fenstern aus:
LOVE
PEACE
HOME
HAPPINESS

These things Can't be Found as long as Bush & Jews Are aLive
Made By ZaCker In 2003-03-30

Nach der Anzeige der letzen Meldung wird das System neu gestartet.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Sobig wird als sehr kritisch eingestuft
Sobig ist ein Wurm, der sich per E-Mail und in Netzwerken über Shared Laufwerke ausbreitet.

Variante: Sobig.A

Sobig.A wurde das erste Mal am 09.01.2003 gefunden. Dieser Wurm versucht auch Downloads von der Geocities Web-Site.

Sobig.A durchsucht Dateien nach E-Mail-Adressen, die die folgenden Extensions besitzen:

.WAB
.DBX
.HML
.HTML
.EML
.TXT

Die Adresse des Absenders infizierter E-Mails ist stets:
big@boss.com

Subjects werden der folgenden Liste entnommen:
Re: Here is that sample
Re: Document
Re: Sample
Re: Movies

In der Nachricht befindet sich nur der Text:
Attached file:

Das Attachment enthält eine Datei mit der Extension .pif:
Sample.pif
Untitled1.pif
Document003.pif
Movie_0074.mpeg.pif

Sobig.A ist unabhängig von der auf dem betreffenden System eingesetzten Mail-Software, weil er eine eigene SMTP-Engine besitzt.
Lokale Netzwerke

Sobig listet alle Shares des infizierten Systems und versucht seinen Code nach
Windows\All Users\Start Menu\Programs\StartUp

oder nach
Documents and Settings\All Users\Start Menu\Programs\Startup
zu kopieren.

Sobig.A kopiert seinen Code unter dem Namen

winmgm32.exe

in das Windows System-Verzeichnis. In die Registry trägt er einen Aufruf dieser Datei ein:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsMGM

Dadurch wird der Wurm bei jedem Systemstart aktiviert.

Sobig.A enthält eine Download-Routine, die eine Datei holt und anschließend startet. Diese Funktion ist zur Zeit nicht funktionsfähig, da die URL nicht korrekt ist.

Variante: Sobig.B
Sobig.B ist der Alias-Name von Palyh.

Variante: Sobig.C

Sobig.C wurde das erste Mal am 31.05.2003 gefunden. Die infizierten Attachments besitzen die Extensions

.PIF
.SCR
Die Adressen der Absender in infizierten EMails sind gefälscht, wie zum Beispiel:
bill@microsoft.com

Diese Variante breitet sich auch über Netzwerk Shares aus.
Sobig.C kopiert seinen Code unter dem Namen

mscvb32.exe

Er fügt in der Registry folgende Keys ein:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
System MScvb = %WindowsDir%\mscvb32.exe

Dadurch wird der Wurm bei jedem Start von Windows aktiviert.

Die Adressen für den Versand infizierter EMails werden aus Dateien beschafft, die folgende Extensions besitzen:

.wab
.dbx
.htm
.html
.eml
.txt

Subjects infizierter EMails werden folgender Liste entnommen:
Re: Screensaver
Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application

Die Namen der infizierten Attachments stammen aus folgender Liste:
screensaver.scr
movie.pif
submited.pif
45443.pif
documents.pif
approved.pif
application.pif
document.pif

Der Text der Nachricht ist immer gleich:
Please see the attached file.

Ausbreitung in lokalen Netzwerken
Am 08. Juni 2003 versucht Sobig.C, sich in lokalen Netzwerken auf Systeme auszubreiten auszubreiten, die offene Shares besitzen. Er kopiert seinen Code in folgende Verzeichnisse:

Windows\All Users\Start Menu\Programs\Startup\

Documents and Settings\All Users\Start Menu\Programs\Startup

Dies sind Standard-Verzeichnisse von Windows 9x, NT und XP. Beim nächsten Login nach dem Kopieren wird der Wurm gestartet. Dadurch werden diese Systeme infiziert.

Backdoor Downloader
Sobig.C versucht Dateien von verschiedenen URLs herunterladen. Inzwischen ist dies nicht mehr möglich.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: W32.Bugbear Neue Version
Der bereits bekannte Wurm W32.Bugbear ist in einer neuen Variante wiederbelebt worden. Von den Sicherheitsexperten als W32.Bugbear.B@mm benannt, kann der Massenmailer EXE-Dateien befallen, Keyboard-Anschläge abhören und Backdoor-Tools einschleusen.

Laut Symantec, die derzeit dabei sind, die neue Version zu untersuchen beendet der Wurm nach der Infektion eine ganze Reihe von Firewall- und Antivirenprozessen. Verbreitung findet Bugbear über eine eigene SMTP-Engine, die nötigen
Daten sucht er in der Registry des befallenen Rechners. Die Absenderadresse bezieht der hochgradig wandlungsfähige Wurm ebenfalls vom lokalen Rechner und tarnt sich damit.

Die Betreffzeile wird zufällig aus einer reichlichen Auswahl generiert, die der Wurm nach Erkenntnis von Symantec wohl mitbringt. Der Dateiname des Anhangs ist wieder vom befallenen Rechner entwendet. Bugbear kann sich nach bisherigen Erkenntnissen auch über Netzwerk-Shares verbreiten.

Bugbear ist ein Mass-Mailing Wurm der auch ein Backdoor enthält.

Variante: Bugbear.A

Tanatos ist ein Mass-Mailing Wurm, der ein Backdoor enthält und Tastatur-Eingaben protokolliert. Er wurde das erste Mal am 30.09.2002 gefunden. Sein Code wird als Attachment von infizierten E-Mails versandt. Der Name des Attachments (mit einer oder mehreren Extensions) ist zufällig gewählt Diese PE EXE Datei ist mit UPX komprimiert. Wird dieses Attachment ausgeführt, kopiert sich der Wurm unter einem zufällig gewählten Namen in das Windows System-Verzeichnis und fügt in die Registry einen Startup Key für diese Datei ein:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

Weiterhin generiert der Wurm eine DLL-Datei mit einem zufällig gewählten, Namen im Windows Systemverzeichnis, die Tastatur-Eingaben protokolliert. Im Windows-Verzeichnis generiert der Wurm zwei DAT Dateien, die ebenfalls einen zufällig gewählten Namen erhalten.
Der Betreff und der Inhalt infizierter E-Mails sind ebenfalls unterschiedlich. Der Text infizierter E-Mails kann IFrames enthalten durch die bereits während der Anzeige das Attachment automatisch aufgerufen wird. Dies gilt z.B. für Outlook und Internet Explorer Version 5.0 und 5.1. Diese Sicherheitslücke kann durch einen Patch beseitigt werden:
www.microsoft.com/windows/ie/downloads/critical/q290108/
default.asp

Der Wurm sucht nach Adressen für den Versand infizierter E-Mails in INBOX (Netscape) und in Dateien, die folgende Extensions besitzen:
.ODS
.MMF
.NCH
.MBX
.EML
.TBB
.DBX

Der Wurm holt sich vom infizierten System auch E-Mails und versendet diese mit dem Wurmcode als Attachment. Er kann auch Teile von Text-Dateien als Text in infizierten E-Mails einfügen. Folgende Betreffs können verwendet werden:
Greets!
Get 8 FREE issues - no risk!
Hi!
Your News Alert
$150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
Tools For Your Online Business
Daily Email Reminder
News
free shipping!
its easy
Warning!
SCAM alert!!!
Sponsors needed
new reading
CALL FOR INFORMATION!
25 merchants and rising
Cows
My eBay ads
empty account
Market Update Report
click on this!
fantastic
wow!
bad news
Lost & Found
New Contests
Today Only
Get a FREE gift!
Membership Confirmation
Report
Please Help...
Stats
I need help about script!!!
Interesting...
Introduction
various
Announcement
history screen
Correction of errors
Just a reminder
Payment notices
hmm..
update
Hello!

Der Wurm versendet keine infizierten E-Mails an Adressen, die folgende Zeichenketten anthalten:
remove
spam
undisclosed
recipients
noreply
lyris
virus
trojan
mailer-daemon
postmaster@
root@
nobody@
localhost
localdomain
list
talk
ticket
majordom

Der Wurm benutzt für den Namen des Attachments u.U. mehrere Extensions. Die erste Extension lautet dann:
.reg
.ini
.bat
.h
.diz
.txt
.cpp
.c
.html
.htm
.jpeg
.jpg
.gif

Als Typ des Attachments wird in Abhängigkeit von der gewählten Extension verwendet:
image/gif
image/jpeg
application/octet-stream
text/plain
text/html

Als zweite Extension wird verwendet:
.scr
.pif
.exe

Der Wurm benutzt manchmal auch Namen von Dateien des infizierten Systems und hängt Extensions von auführbaren Dateien an. Der Name von infizierten Attachments kann folgende Zeichenketten enthalten:
readme
Setup
Card
Docs
news
image
images
pics
resume
photo
video
music
song
data

Tanatos kann sich auch in lokalen Netzwerken ausbreiten. Er versucht auf Remote Systemen das Verzeichnis \Start Menu\Programs\Startup\ zu finden. Hat er dies gefunden, kopiert er seinen Code mit einem zufällig gewählten Namen in dieses Verzeichnis. Wird ein solches System gestartet, wird es infiziert.
Der Wurm sucht ständig nach Prozessen mit den folgenden Namen:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE

Hat er einen solchen Prozess gefunden, beendet er diesen. Der Wurm benutzt für Windows 9x und für Systeme, die auf NT basieren, unterschiedliche Routinen. In den meisten Fällen deaktiviert der Wurm Sicherheits- und Anti-Viren-Software.
Tanatos überwacht den Port 36794. Er erhält Zugriff zu infizierten Systemen und dem damit verbundenen Netzwerken mit Hilfe eines internen Backdoors. Ein Angreifer kann dadurch Informationen eines infizierten Systems, wie zum Beispiel Betriebssystem, Prozessor, lokale Laufwerke und Netzlaufwerke, erhalten.

Tanatos beschafft sich auch Passworte des infizierten Systems mit Hilfe der Protokole von Tastatur-Eingaben. Diese sendet er an verschiedene Adressen, die in verschlüsselter Form im Code gespeichert sind. Die Namen der verwendeten SMTP-Server sind ebenfalls verschlüsselt.

Säubern:
Alle vom Tanatos gespeicherten Dateien sollten gelöscht und anschließend das System neu gestartet werden. Hat er sich in einem Netzwerk ausgebreitet, sollte alle Netzwerk-Verbindungen aufgehoben und alle Systeme separat gesäubert werden.

Nach der Säuberung sollten alle Logins und Passworte geändert werden.

Variante: Bugbear.B
Alias: Kijmo.A
Länge: 72192

Der polymorphe Wurm Bugbear.B verbreitet sich seit dem 05.06.2003 weltweit sehr schnell. Er verbreitet sich per EMail und in lokalen Netzwerken.

Der Code des Wurms ist eine PE EXE-Datei, die mit UPX verschlüsselt wurde. Weiterhin ist diese mit einem einfachen Krypto-Algorithmus verschlüsselt. Dieser wird allerdings in jeder Wurm-Generation verändert, wodurch Bugbear.B polymorph wird. Die Länge der dekomprimierten Version des Wurm-Codes ist etwa 170 KByte.

Der Wurm nutzt die Sicherheitslücke I-Frame Exploit. Dadurch wird der Wurm bereits beim Öffnen der Datei aktiv!

Ausbreitung per EMail:

Der Wurm benutzt eine eigene SMTP-Engine. Die Adressen für den Versand infizierter EMails beschafft er sich aus Dateien, die folgende Extensions besitzen:

ODS
MMF
NCH
MBX
EML
TBB
DBX
INBOX

Einige dieser Dateien sind Datenbanken mit EMail-Adressen! Infizierte EMails werden an alle gefundenen Adressen verschickt. Ausgeschlossen werden nur Adressen, die folgende Zeichenketten enthalten:
remove
spam
undisclosed
recipients
noreply
lyris
virus
trojan
mailer-daemon
postmaster@
root@
nobody@
localhost
localdomain
list
talk
ticket
majordom

Die Subjects infizierter EMails werden von zufällig ausgewählten Dateien des infizierten Systems oder der folgenden Liste entnommen:
Greets!
Get 8 FREE issues - no risk!
Hi!
Your News Alert
$150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
Tools For Your Online Business
Daily Email Reminder
News
free shipping!
its easy
Warning!
SCAM alert!!!
Sponsors needed
new reading
CALL FOR INFORMATION!
25 merchants and rising
Cows
My eBay ads
empty account
Market Update Report
click on this!
fantastic
wow!
bad news
Lost & Found
New Contests
Today Only
Get a FREE gift!
Membership Confirmation
Report
Please Help...
Stats
I need help about script!!!
Interesting...
Introduction
various
Announcement
history screen
Correction of errors
Just a reminder
Payment notices
hmm..
update
Hello!

Der Name des Attachments enthält eine der folgenden Zeichenketten:
readme
Setup
Card
Docs
news
image
images
pics
resume
photo
video
music
song
data

Der Name des Attachments kann auch Namen von Dateien des infizierten Systems enthalten. Die Extension wird der folgenden Liste entnommen:
exe
scr
pif

Ist der Name ein Datei-Name aus dem infizierten System, werden zwei Extensions verwendet, wie z.B. Dokument.DOC.EXE.

Ausbreitung in lokalen Netzwerken:

Bugbear.B kann Remote Systeme über das lokale Netzwerk "infizieren". Der Wurm wartet zunächst einige Zeit und sucht dann nach Netzwerk Shares. Er stellt dann Verbindungen her und kopiert seinen Code in die Verzeichnisse Program Files und Windows:

\winzip\winzip32.exe
\kazaa\kazaa.exe
\ICQ\Icq.exe
\DAP\DAP.exe
\Winamp\winamp.exe
\AIM95\aim.exe
\Lavasoft\Ad-aware 6\Ad-aware.exe
\Trillian\Trillian.exe
\Zone Labs\ZoneAlarm\ZoneAlarm.exe
\StreamCast\Morpheus\Morpheus.exe
\QuickTime\QuickTimePlayer.exe
\WS_FTP\WS_FTP95.exe
\MSN Messenger\msnmsgr.exe
\ACDSee32\ACDSee32.exe
\Adobe\Acrobat 4.0\Reader\AcroRd32.exe
\CuteFTP\cutftp32.exe
\Far\Far.exe
\Outlook Express\msimn.exe
\Real\RealPlayer\realplay.exe
\Windows Media Player\mplayer2.exe
\WinRAR\WinRAR.exe
\adobe\acrobat 5.0\reader\acrord32.exe
\Internet Explorer\iexplore.exe
\winhelp.exe
\notepad.exe
\hh.exe
\mplayer.exe
\regedit.exe
\scandskw.exe

Weiterhin sucht er nach Startup Verzeichnissen in den Remote Systemen und kopiert seinen Code mit einem zufällig gewählten Namen und der Extension EXE.
Der Wurm wird auf Remote Computern aktiv, nachdem ein Systemstart ausgeführt wurde oder ein Benutzer eine solche Datei aufgerufen hat.

Beenden von Prozessen:

Bugbear.B beendet Prozesse von einigen Anti-Viren- und Sicherheits-Programmen. Er listet aktive Prozesse aller 20 Sekunden und Prozesse, die folgende Zeichenketten enthalten:

_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE

Bugbear.B enthält unterschiedliche Routinen für das Beenden von Prozessen unter Windows 9x und Windows NT.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Update von www.windows-update.com installiert Trojaner!

Auch seriös klingende Webseiten können gefährliche Fallen enthalten! Wer unter www.windows-update.com die Datei update0932.exe installiert, holt sich einen Trojaner auf sein System. Der Trojaner "Zasil" tauchte erstmals im November 2002 auf und wird schon durch das bloße Aufrufen der falschen Update-Seite aktiviert.
Diese Killer-Webseite überflutet dann den Internet Explorer mit Daten, die die Verwaltung der Sicherheitszonen überlasten und die automatische Ausführung von "Zasil" ermöglichen.

Der Besitzer dieser in Schweden registrierten Domain ist natürlich nicht zu erreichen...Hinzu kommt noch, das die Trojaner-Webseite in E-Mails beworben wird, wo der User aufgefordert wird, sich ein ach so wichtiges Sicherheits-Update für sein Windows herunterzuladen.

Also Leute, solchen Mails mit irgendwelchen Sicherheits- oder Sonstwas-Updates nie glauben schenken und immer hübsch löschen. Microsoft selbst bietet seine Updates nur unter www.windowsupdate.com oder unter dem Security Bulletin Archive an, ein Bindestrich zuviel beim Eintippen der Webadresse kann hier also zum Trojaner-Befall führen!

Die Sicherheitslücke im Internet Explorer ist schon seit Mai bekannt und Microsoft bietet mit dem Sammelpatch "MS03-020 " schon das passende Gegenmittel an.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Sobig.E

Mit Sobig.e (w32.sobig.e@mm) ist eine weitere Variante des Wurms im Netz aufgetaucht. Der digitale Übeltäter verbreitet sich in einem Anhang per Mail und über Netzwerke. Allerdings ist er leichter auszumachen als seine Vorgänger: Die Betreffzeile leiht er sich von Sobig.c, die angehängte Datei lautet immer " your_details.zip".
Wie seine Vorgänger versendet sich auch Sobig.e per SMT an die Mails im Adressbuch des Opfers. Offenbar hat der Wurm Respekt vor dem französischen Nationalfeiertag: Er beendet seine Aktivität just am 14. Juli.

Sobig ist ein Wurm, der sich per E-Mail und in Netzwerken über Shared Laufwerke ausbreitet.

Variante: Sobig.A

Sobig.A wurde das erste Mal am 09.01.2003 gefunden. Dieser Wurm versucht auch Downloads von der Geocities Web-Site.

Sobig.A durchsucht Dateien nach E-Mail-Adressen, die die folgenden Extensions besitzen:

.WAB
.DBX
.HML
.HTML
.EML
.TXT

Die Adresse des Absenders infizierter E-Mails ist stets:
big@boss.com

Subjects werden der folgenden Liste entnommen:
Re: Here is that sample
Re: Document
Re: Sample
Re: Movies

In der Nachricht befindet sich nur der Text:
Attached file:

Das Attachment enthält eine Datei mit der Extension .pif:
Sample.pif
Untitled1.pif
Document003.pif
Movie_0074.mpeg.pif

Sobig.A ist unabhängig von der auf dem betreffenden System eingesetzten Mail-Software, weil er eine eigene SMTP-Engine besitzt.

Lokale Netzwerke:

Sobig listet alle Shares des infizierten Systems und versucht seinen Code nach

Windows\All Users\Start Menu\Programs\StartUp

oder nach
Documents and Settings\All Users\Start Menu\Programs\Startup

zu kopieren.

Infektion:

Sobig.A kopiert seinen Code unter dem Namen

winmgm32.exe

in das Windows System-Verzeichnis. In die Registry trägt er einen Aufruf dieser Datei ein:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsMGM

Dadurch wird der Wurm bei jedem Systemstart aktiviert.

Backdoor:

Sobig.A enthält eine Download-Routine, die eine Datei holt und anschließend startet. Diese Funktion ist zur Zeit nicht funktionsfähig, da die URL nicht korrekt ist.

Variante: Sobig.B
Sobig.B ist der Alias-Name von Palyh.

Variante: Sobig.C

Sobig.C wurde das erste Mal am 31.05.2003 gefunden. Die infizierten Attachments besitzen die Extensions

.PIF
.SCR

Die Adressen der Absender in infizierten EMails sind gefälscht, wie zum Beispiel:
bill@microsoft.com

Weiterhin beschafft er sich aus dem infizierten System EMail-Adressen, die er als Absender infizierter EMails einsetzt.
Sobig.C breitet sich nach dem 08.06.2003 von infizierten Systemen nicht mehr aus.

Diese Variante breitet sich auch über Netzwerk Shares aus.

Sobig.C kopiert seinen Code unter dem Namen

mscvb32.exe

Er fügt in der Registry folgende Keys ein:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
System MScvb = %WindowsDir%\mscvb32.exe

Dadurch wird der Wurm bei jedem Start von Windows aktiviert.

Verbreitung über EMail:

Die Adressen für den Versand infizierter EMails werden aus Dateien beschafft, die folgende Extensions besitzen:

.wab
.dbx
.htm
.html
.eml
.txt

Subjects infizierter EMails werden folgender Liste entnommen:
Re: Screensaver
Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application

Die Namen der infizierten Attachments stammen aus folgender Liste:
screensaver.scr
movie.pif
submited.pif
45443.pif
documents.pif
approved.pif
application.pif
document.pif

Der Text der Nachricht ist immer gleich:
Please see the attached file.

Ausbreitung in lokalen Netzwerken
Am 08. Juni 2003 versucht Sobig.C, sich in lokalen Netzwerken auf Systeme auszubreiten auszubreiten, die offene Shares besitzen. Er kopiert seinen Code in folgende Verzeichnisse:

Windows\All Users\Start Menu\Programs\Startup\

Documents and Settings\All Users\Start Menu\Programs\Startup

Dies sind Standard-Verzeichnisse von Windows 9x, NT und XP. Beim nächsten Login nach dem Kopieren wird der Wurm gestartet. Dadurch werden diese Systeme infiziert.

Backdoor Downloader:

Sobig.C versucht Dateien von verschiedenen URLs herunterladen. Inzwischen ist dies nicht mehr möglich.

Säubern infizierter Systeme:

Mit Hilfe von

ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.zip

kann ein infiziertes System gesäubert werden. Hinweise zum Einsatz sind in
ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.txt

enthalten.

Variante: Sobig.D
Alias: Reteras

Der Wurm Sobig.D wurde das erste Mal am 18.06.2003 gefunden. Er ist mit Sobig.C eng verwandt und nur bis zum 02. Juli 2003 aktiv.

Der Wurm kopiert seinen Code unter dem Namen

cftrb32.exe

in das Windows-Verzeichnis und fügt folgende Einträge in die Registry ein:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SFtrb Service = %WindowsDir%\cftrb32.exe

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SFtrb Service = %WindowsDir%\cftrb32.exe

Dadurch wird Sobig.D bei jedem Start von Windows aktiviert.

Verbreitung per EMail:

Sobig.D benutzt die gleichen Versand-Routinen wie Sobig.C. Als Absender wird stets

admin@support.com

angegeben. Das Subject wird folgender Liste entnommen:
Re: Documents
Re: App. 00347545-002
Re: Movies
Application Ref: 456003
Re: Your Application (Ref: 003844)
Re: Screensaver
Re: Accepted
Your Application
Re: Application

Als Name des infizierten Attachments wird wahlweise
Document.pif
app003475.pif
movies.pif
ref_456.pif
Application844.pif
Screensaver.scr
Accepted.pif
Applications.pif
Application.pif

verwendet. Der Inhalt der Nachricht ist stets
See the attached file for details.

Die Adressen für den Versand infizierter EMails beschafft er sich aus Dateien, die folgende Extensions besitzen:
.wab
.dbx
.htm
.html
.eml
.txt

Ausbreitung in lokalen Netzwerken
Sobig.D infiziert Systeme mit offenen Shares. Seinen Code kopiert er in folgende Verzeichnisse:

Windows\All Users\Start Menu\Programs\Startup\

Documents and Settings\All Users\Start Menu\Programs\Startup

Aktualisierung von Sobig.D
Sobig.D überwachts Ports in denen er Nachrichten von seinem Autor erwartet. Diese Nachrichten enthalten URLs, von denen zusätzliche Komponenten heruntergeladen werden.

Variante: Sobig.E
Länge: 86528

Die Variante Sobig.E, die das erste Mal am 25.06.2003 gefunden wurde, verbreitet sich schnell. Sie verbreitet sich meist als EMail mit einem infizierten Attachment. Der Text der EMail lautet meist:

Please see the attached zip file for details

Der Name des Attachments ist häufig:
your_details.zip

Das Attachment enthält den Code des Wurms, der mit Aspack und TELock komprimiert wurde. Die Länge des Codes in dekomprimierter Form ist etwa 130 KByte. Die meisten Zeichenketten im Code wurden mit einem komplexen Algorithmus verschlüsselt.
Wird das Attachment aufgerufen, installiert sich der Wurm auf dem System. Er kopiert seinen Code unter dem Namen

WINSSK32.EXE

in das Windows-Verzeichnis und trägt Startup Keys in die Registry ein:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SSK Service" = "%windir%\winssk32.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SSK Service" = "%windir%\winssk32.exe

Dabei ist %windir% das Windows-Verzeichnis. Dadurch wird Sobig.E in jeder Windows Session automatisch aktiv.
Zusätzlich generiert der Wurm die Datei

MSRRF.DAT

für interne Zwecke.
Sobig.E ist wie auch die anderen Varianten nur eine begrenzte Zeit aktiv. Diese endet am 14.07.2003 .

Verbreitung per EMail:

Die Subjects infizierter EMails werden von Wurm generiert. Der Inhalt der EMail ist stets gleich. Der Name des Attachments ist zufällig gewählt. Der Code des Wurms befindet sich in einer ZIP-Datei.

Bisher wurde folgendes gefunden. Subject:

Re: Application
oder
Re: Movie

Inhalt der EMail:
Please see the attached zip file for details.

Attachments:
your_details.zip

Diese ZIP-Datei enthält den Code des Wurms:
DETAILS.PIF

Die Adressen für den Versand infizierter EMails beschafft er sich aus Dateien, die folgende Extensions besitzen:
.WAB
.DBX
.HTM
.HTML
.EML
.TXT

Der Wurm manipuliert den Namen des Absenders infizierter EMails. Beispielsweise wird
support@yahoo.com

oder andere Adressen verwendet, die der Wurm im infizierten System findet.
Sobig.E besitzt eine eigene SMTP-Engine. Im Code befindet sich eine Liste von SMTP-Servern, die er für den Versand infizierter EMails verwendet.

Ausbreitung in lokalen Netzwerken:

Sobig.E durchsucht das Netzwerk und versucht Startup-Verzeichnisse in Remote Systemen zu finden:

\Windows\All Users\Start Menu\Programs\StartUp\
\Documents and Settings\All Users\Start Menu\Programs\Startup\

Findet der Wurm ein solches Verzeichnis, kopiert er seinen Code dorthin. Dadurch wird das Remote System nach dem nächsten Systemstart infiziert.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
JULI 2003
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Fehler in Norton AntiVirus V7.61 Corporate
In dieser Corporate Version von Nortonhat sich unter Windows XP ein Fehler eingeschlichen. Viren, die sich auf einer Diskette befinden, werden von NAV nicht erkannt. Es soll daher sogar möglich sein , die Dateien zu starten und zu kopieren.

Symantec bestätigte diesen Fehler jetzt, stellt aber noch keinen Patch zur Verfügung. Weiterhin äußerte sich Symantec , dass diese Version von NAV eigentlich gar nicht kompatibel mit Windows XP wäre.

Erst vor wenigen Tagen machte ein Problem mit den Virensignaturen auf Symantec`s Norton AntiVirus aufmerksam. Die für wenige Stunden angebotenen Signaturen setzten den Virenscanner von NAV außer Kraft und löschten alle anderen Virensignaturen. Viele Firmen standen deshalb zeitweise ohne Virenschutz da.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: MyLife Neue Version
Dieser Schädling gibt vor, ein Bildschirmschoner mit Nacktfotos von Julia Roberts zu sein. Die E-Mail mit dem verseuchten Anhang hat meist den Betreff "FW: Julia Roberts". Installiert der Empfänger das vermeintliche Screensaver-Programm, beginnt der Wurm, sich selbständig an alle Kontakte im Adressbuch zu verschicken. Zudem versucht "MyLife-M" zwischen der 50. und 59. Minute jeder Stunde, alle Dateien auf der Festplatte zu löschen.

Nach Angaben des Software-Herstellers Sophos kann sich der "MyLife-M"-Wurm auch als Bildschirmschoner eines anderen weiblichen Stars ausgeben, etwa der Popsängerin Shakira. Außerdem verbreitet der Wurm die Behauptung, von McAfees Antivirus-Software geprüft und damit virenfrei zu sein.

Nutzer der gängigen Antivirus-Programme sollten nach der Installation der aktuellen Virus-Definitionen vor dem "MyLife-M"-Wurm geschützt sein. Symantec bietet auf seiner Website zusätzlich eine Anleitung in englischer Sprache, mit deren Hilfe sich der Wurm auch von Hand entfernen lässt.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Virus: in Gestalt eines Kokosnuss-Spiels
Der Entwickler von Anti-Viren-Software Sophos http://www.sophos.de warnt vor dem neuen Wurm W32/Coconut-A, der Computeranwender dazu auffordert, das Spiel "Coconut Shy" zu spielen. Dabei müssen Kokosnüsse auf die Köpfe des mutmaßlichen belgischen Hackers Frans Devaere und des Senior Technology Consultant von Sophos, Graham Cluley, geworfen werden, um Punkte zu machen. Die Anzahl der zerstörten Dateien hängt vom Spielergebnis ab: Je mehr Punkte der Spieler sammelt, desto weniger Dateien versucht der Wurm zu infizieren.

Der Wurm wurde von einer als "Gigabyte" bekannten Virenautorin geschrieben. Gigabyte richtete verstärkt ihre Aufmerksamkeit auf Cluley, seitdem er behauptete, dass die Mehrheit der Virenautoren männlich sei. Bereits 2001 widmete sie Cluley den Virus W32/Parrot-A. "Gigabyte ist offenbar davon besessen, der Welt und im Besonderen mir zu beweisen, dass nicht nur das männliche Geschlecht Viren schreiben kann", sagt Cluley.

Der Coconut-Wurm verbreitet sich als E-Mail mit der ausführbaren Datei coconut.exe im Anhang. Sobald Nutzer die Datei doppelt anklicken, verschickt sich der Wurm an alle Kontakte im Adressbuch des PCs und legt mit dem Spiel los. Einen Trefferpunkt gibt es für den Kopf des Hackers, zwei für Cluleys. Die Infektion durch den Wurm hängt davon ab, wie geübt der Anwender seine drei Würfe setzt: Bei null Treffern verliert er ganze sechs Dateien, bei einem Treffer fünf Dateien und so weiter. Nur wenn er dreimal Cluleys Kopf trifft, kann er alle sechs Dateien treffen.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Ein Trojaner verschickt Spam

Ein neu entdeckter Trojaner sorgt derzeit für überquellende Postfächer bei so manchem Mail-Nutzer. Die Malware namens Webber alias Heloc installiert nämlich auf infizierten Rechner einen Proxy-Server über den Übeltäter Spam sowie beliebige Daten verschicken können.
Vor dem Schädling warnen unter anderem Kaspersky Labs und Sophos, deren Kunden bereits einige Infektionen mit Webber gemeldet haben. Seit dem 16. Juli soll Webber sein Unwesen treiben.

"Wir haben es hier im Grunde mit der illegalen Erstellung eines Verteilungsnetzes zu tun, über welches Hacker einen Massenversand von Spam durchführen und dabei die Ressourcen infizierter Computer benutzen können," erklärt Eugene Kaspersky, Leiter der Antiviren-Forschung von Kaspersky Labs. "Wir sind am meisten davon beunruhigt, dass dieses Netz auch für ganz andere Zwecke genutzt werden kann, unter anderem für globale Hacker-Attacken oder gezielte DDoS-Attacken auf die Internet-Ressourcen großer Unternehmen oder Staatsinstitutionen."

Die versandten Mails haben als Betreffzeile "Re: Your credit application", enthalten einen Text in Englisch und als angehängte Datei "web.da.us.citi.heloc.pif". Dieser Dateiname lässt an eine Internet-Adresse denken, was in einigen Fällen den User verwirren könnte, so dass er/sie die infizierte Datei startet.

Nach dem Start der angehängten Datei lädt Webber unbemerkt zusätzliche Komponenten von einem entfernten Web-Server herunter und installiert diese auf dem Computer. Außerdem schickt der Trojaner seinem Schöpfer eine Liste der im Cache-Speicher des Computers gefundenen Passwörter. Weitere Informationen finden Sie hier:
http://www.viruslist.com/eng/viruslist.html?id=61335
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
AUGUST 2003
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Worpig
Worpig enthält zusätzlich ein IRC Backdoor und eine Download-Routine für das Update des Wurms. Warpig.B wurde in Visual C++ programmiert und mit UPX komprimiert (Länge von etwa 67 KByte). Worpig.B enthält eine Liste mit etwa 1.600 Passworten. Er benutzt diese Liste, um angreifbare Systeme im Netzwerk zu finden. Im Code ist das Dienstprogramm 'psexec.exe' enthalten, das den Code des Wurms auf verwundbare Systeme kopiert. Wird der Wurm aufgerufen, kopiert er seinen Code unter dem Namen

Warpig ist ein Wurm, der sich in Netzwerken ausbreitet.

Variante: Warpigs.B

Worpig enthält zusätzlich ein IRC Backdoor und eine Download-Routine für das Update des Wurms. Warpig.B wurde in Visual C++ programmiert und mit UPX komprimiert (Länge von etwa 67 KByte).

Ausbreitung in Netzwerken:

Worpig.B enthält eine Liste mit etwa 1.600 Passworten. Er benutzt diese Liste, um angreifbare Systeme im Netzwerk zu finden. Im Code ist das Dienstprogramm

psexec.exe

enthalten, das den Code des Wurms auf verwundbare Systeme kopiert.
Wird der Wurm aufgerufen, kopiert er seinen Code unter dem Namen

winupdate.exe

ind das Windows System-Verzeichnis. In die Registry fügt er einen Aufruf ein:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\windowsupdate
und
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windowsupdate

In die Datei system.ini fügt er folgeden Eintrag ein:
[Boot]
Shell=explorer winupdate.exe

Dadurch wird der Wurm bei jedem Systemstart aufgerufen.

Backdoor:

Warpigs setzt ein IRC-gesteurtes Backdoor ein. Dadurch werden Remote Hacker unterstützt, die dadurch eine Kontrolle über infizierte Systeme erhalten. Mit Hilfe des Backdoors kann Warpig Updates von einer Web-Site, die allerdings z.Z. nicht mehr existiert.

Säubern:

Für das Säubern infizierter Systeme kann folgendes Programm eingesetzt werden:

ftp://ftp.f-secure.com/anti-virus/tools/f-warpigs.zip
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Fakerr

Fakerr ist ein Wurm, der das erste Mal Mitte Juli 2003 gefunden wurde. Er breitet sich sowohl über EMail als auch in Kazaa File-Sharing Netzwerken aus. Allerdings enthält die Routine für Kazaa einen Fehler, durch den die Ausbreitung in diesen Netzwerken nicht möglich ist. Fakerr besitzt Schadfunktionen. Dateien auf Festplatten werden gelöscht und Windows kann durch eine Manipulation der Registry nicht mehr gestartet werden.

Nach dem Aufruf des Wurms gibt er eine getürkte Fehlermeldung aus, die wie Fehlermeldungen von XP aussehen. Klickt der Benutzer eine Schaltfläche in dieser Meldung, wird das CD-ROM Laufwerk und mehrere Windows Konfigurations-Menüs geöffnet.

Anschließend gibt er folgende Meldung aus:

kIlLeRgUaTe

Your computer now is mine, Why? Because I didn't had nothing to
do and I thought, why not make the evil? Remember NOW YOUR PC IS
IN MY POWER Windows Sucks! I can't stand it anymore! Windows has
always sucked. Wake up people! It's a scam! You don't need a
faster computer. You need a better operating system. Microsoft
continuingly makes money by selling you the latest and greatest
Windows. The latest Windows version is always the most
inefficient yet, slowing down your fast computer. Also, now you
have to upgrade all your other software too because different
Windows versions are not compatible with each other! A hidden
cost not mentioned at all. It's part of the scam. Capitalism
Sucks!, Communism Sucks. KILLERGUATE.

Danach kopiert er seinen Code unter dem Namen
RUNDLL32.EXE

in das Root-Verzeichnis von Laufwerk C:. Fakerr manipuliert die Startup Keys für folgende Extensions:
exe
com
bat
pif
hta
ht

Fakerr manipuliert auch einige Registry-Einträge, so dass das System nicht heruntergefahren werden kann, der Explorer nicht beendet, der Task- Manager nicht geöffnet und Passworte nicht geändert werden können.
Fakerr versendet infizierte EMails an alle Adressen aus dem Outlook Adressbuch. Infizierte EMails enthalten, Subject:

Symantec: New serious virus found

Body:
Norton Security Response: has detected a new virus in the
Internet. For this reason we made this tool attachement, to
protect your computer from this serious virus. Due to the number
of submissions received from customers, Symantec Security
Response has upgraded this threat to a Category 5 (Maximum ).

Attachment:
Norton_Symantec_Tool.exe

Fakerr versucht seinen Code unter dem Namen
Norton 2003 Pro.exe
in Shared Verzeichnisse von Kazaa Clients zu kopieren. Dies scheitert allerdings durch einen Programmierfehler.
Der Wurm hat eine aggressive Schadfunktion. Er versucht folgende Dateien zu löschen :

C:\WINNT\system32\ntoskrnl.exe
C:\WINNT\system32\command.com
C:\WINNT\regedit.exe
C:\windows\system32\ntoskrnl.exe
C:\windows\system32\command.com
C:\windows\regedit.exe
C:\AUTOEXEC.bat
C:\config.sys
C:\WINNT\system32\*.exe
C:\WINNT\system32\*.com
C:\WINNT\system32\*.dll
C:\WINNT\system32\*.ocx
C:\windows\system32\*.dll
C:\windows\system32\*.ocx
C:\windows\system32\*.exe
C:\windows\system32\*.com

Weiterhin löscht er alle Dateien in den Verzeichnissen:
C:\WINNT\system
C:\windows\system
C:\WINNT\system32
C:\windows\system32
D:\
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
MacroVirus Xaler.B
Xaler.B infiziert das globale Template (Vorlage), wenn ein infiziertes Dokument geöffnet oder geschlossen wird. Anschließend werden alle Dokumente, die geöffnet oder geschlossen werden, infiziert. Xaler.B besitzt auch eine Schadfunktion, die jeden Monat am 10., 20. und 30. aktiviert wird. Wird an einem dieser Tage ein Dokument geschlossen, manipuliert Xaler.B die Datei AUTOEXEC.BAT.

NOTE!!!
***
*****
*******
*****
***
Sometimes you must RELAX.
Please, RELAX while deleting all files in C:\
*****
*******
*****
GREECE
==================================

und zusätzlich:
All files deleted!!!
Now, you have a clean COMPUTER.
ECHO *******
ECHO *******

Wichtig: Xaler löscht auf dem infizierten System keine Dateien!
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
E-Mail Wurm Mimail
Der Wurm Mimail breitet sich per E-Mail aus, die vom Administrator des eigenen Servers (admin@eigene.domain) zu kommen scheinen. Der Betreff ist "your account" (und i.d.R. zufällige Buchstaben nach mehreren Leerzeichen) und der Anhang heisst message.zip. Enthalten ist eine HTML-Datei (message.html), die den Wurm als EXE-Datei enthält. Der Text der Mail ist

Hello there,

I would like to inform you about important information regarding your
email address. This email address will be expiring.
Please read attachment for details.

---
Best regards, Administrator

gefolgt von den zufälligen Buchstaben am Ende des Betreffs.

Wenn message.html mit einem Internet Explorer geöffnet wird, der die Sicherheitslücke
http://www.microsoft.com/technet/security/bulletin/MS02-015.asp

enthält, wird eine Datei foo.exe angelegt und ausgeführt. Hierbei wird im Browser der Text "Please wait loading message ....." in großen roten Buchstaben auf schwarzem Grund angezeigt. Der Wurm verschickt sich an Adressen, die er auf der Festplatte gefunden hat.

Um aktiv zu bleiben, kopiert sich der Wurm als "videodrv.exe" in das Windows-Verzeichnis und trägt sich zum automatischen Start ein:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
VideoDriver = %WinDir%\videodrv.exe

Ausserdem erzeugt der Wurm folgenden Dateien im Windows-Verzeichnis:
exe.tmp: Wurm in HTML-Datei
zip.tmp: HTML-Datei in ZIP-Archiv
eml.tmp: Liste der gefundenen E-Mail-Adressen

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Autorooter
Kaspersky Labs warnt vor einem neuen Internet Wurm, der eine vor wenigen Tagen bekannt gewordene Schwachstelle von Windows NT, 2000 und XP ausnutzt. Der Wurm wurde auf den Namen "Autorooter" getauft. Aufgrund eines Programmierfehlers ist der Wurm derzeit nicht in der Lage, sich zu verbreiten. Die Antiviren-Experten vermuten aber, dass schon in Kürze eine "bugbereinigte" Version des Wurms folgen könnte, die dann auch größeren Schaden anrichten könnte.
"Autorooter" ist ein Trojaner mit Backdoor-Funktion und besteht aus drei Komponenten. Einer Wirtsdatei (rpc.exe, 41 KB), einem Modul zum Verschicken und Empfangen von Dateien über einen FTP-Server (tftpd.exe, 144 KB) und einem Modul für den Angriff auf die Windows-Schwachstelle (rpctest.exe, 95 KB).

Auf den befallenen Rechnern sucht der Wurm im Netzwerk über zufällig generierten IP-Adressen und dem Port 445 nach "Remote Rechnern". Jeder "Remote Rechner" wird dann durch "rpctest.exe" über einen Pufferüberlauf zum Absturz gebracht. Aufgrund eines Fehlers ist der Internet-Wurm allerdings nicht in der Lage, sich weiterzuverbreiten.
"Wir gehen davon aus, dass dieses 'Muster' lediglich eine Test-Variante des Wurms ist. Es ist sehr gut möglich, dass in Zukunft 'lebenstüchtigere' Versionen auftauchen, welche dem Internet einen enormen Schaden zufügen können", warnt Eugene Kaspersky, Leiter der Antiviren-Forschung von Kaspersky Labs.

Das Ziel des Programmierers von Autorooter könnte es auch sein, schon einmal "ein Netzwerk von gehackten Computer zu schaffen, um damit groß angelegte Viren- und Hackerattacken durchzuführen", erklärt Kaspersky.

Die Antiviren-Experten empfehlen daher dringend, das von Microsoft am 16. Juli bereitgestellte Sicherheits-Update zur Schließung der Windows-Schwachstelle zu installieren. Der Patch wird über die "Windows Update"-Funktion angeboten. Eine Beschreibung der Schwachstelle finden Sie auf dieser Microsoft-Website. Außerdem sollten die genutzte Antiviren-Software auf den neuesten Stand gebracht und mit Firewalls die TCP-Ports 135, 139 und 445 blockiert werden.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Msblast alias Lovsan

Der Wurm Lovsan wurde am 11.08.03 gefunden. Die 6176 Byte große "msblast.exe" nutzt die Sicherheitslücke "Buffer Overrun in RPC Interface" (DCOM/RPC) unter Windows 2000/XP (evtl. auch NT) aus. Diese Sicherheitslücke wurde am 16.07.03 gefunden, siehe
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

Der Wurm prüft entweder das Netzwerk des infizierten Systems (wenn bei einer IP A.B.C.D C größer 20 ist, wird von C 20 abgezogen) oder einen zufälligen Bereich von IP-Adressen auf Systeme, die er infizieren kann. Er prüft gleichzeitig bei 20 IP-Adressen (beginnend mit D gleich 0), ob eine Verbindung auf Port 135 hergestellt werden kann. Um auf das System Zugriff zu erlangen, verwendet er einen von mehreren DCOM-Angriffen. Er startet dann auf dem System eine Shell, um sich per TFTP (Trivial File Transfer Protocol) auf das System zu übertragen (msblast.exe) und lokal zu starten.
msblast.exe wird zum automatischen Start in die Registry eingetragen:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update

Zum Teil starten infizierte Systeme mit Windows XP regelmäßig neu mit folgender Meldung:
This system is being shut down in 60 seconds by NT Authority/System
due to an interrupted Remote Procedure Call (RPC)

Ab 16.08.03 senden Systeme, die mit Msblast infiziert sind, eine große Anzahl 40-Byte-Pakete alle 20 Millisekunden an windowsupdate.com auf Port 80. Dies könnte einen verteilten "Denial-of-Service"-Angriff für den Webserver bedeuten.
Der Wurm enthält folgenden Text, der aber nicht angezeigt wird:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

Der Wurm kann auch manuell beseitigt werden. Beenden Sie den Prozess mblaster.exe im Task Manager und löschen Sie die Datei im Windows-System-Verzeichnis (SYSTEM32). Beachten Sie bitte, das Windows evtl. eine Sicherung in der Systemwiederherstellung anlegt. Falls dies nicht möglich ist, benennen Sie die Datei um und löschen Sie sie nach einem Neustart. Entfernen Sie den Start aus der Registry, in dem Sie in dem Schlüssel
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

den Eintrag windows auto updatelöschen.
In jedem Fall sollten Sie umgehend die Sicherheitslücke schliessen.

Vorgehensweise zum Entfernen des Blaster-Worms

WICHTIG:
Es dürfen keine anderen Programme wie Virenprogramme laufen und es darf auch keine DFÜ-Verbindung bestehen.

Auch diese Datei darf nicht geöffnet sein. Sie sollte ausgedruckt werden um genau die einzelnen Schritte nachlesen zu können.

Zuerst „FixBlast“ und „Patch KB823996-x-DEU“ auf die Festplatte kopieren.

Bevor man die Programme startet folgendes durchführen.

In der Systemsteuerung das Symbol „System“ klicken. Im obigen Reiter dann die „Systemwiederherstellung“ anklicken.

Einen Hacken in das Feld:
Systemwiederherstellung auf allen Laufwerken deaktivieren.
Übernehmen und mit OK bestätigen.

• „FixBlast“ starten
• danach die Meldung abwarten und lesen. (Es sollte ein Wurm festgestellt werden).
• Neustart durchführen
• Dann ERST wieder die Systemwiederherstellung „aktivieren“.
• Noch mal zur Kontrolle das „FixBlast“ starten, es sollte keine Meldung mehr erscheinen.
• Wenn das so ist dann das Programm „Windows Patch KB823996-x-DEU“ starten.
• Anweisungen genau befolgen.

Die 2 Programme dürfen nach der Bereinigung NICHT entfernt werden.

Nochmalig nach einiger Zeit mit dem „FixBlast“ testen ob er nicht wieder auf der Festplatte ist.
Diese Datei „msblast.exe“ befindet sich, wenn sie da ist in:

C: / Windows / System32 / msblast.exe

Download FixBlast Tool von Symantec:
FixBlast.exe von Symantec


Microsoft Patches, diese Beheben das Sicherheitsloch:
Download Patch für Windows XP 32bit

Download Patch für Windows 2000

Download Patch Windows 2003 Server 32bit

Nach dem Auftauchen der ersten Variante WORM RPCSDBOT sind weitere Mutationen von W32.Blaster alias Lovesan gesichtet worden. W32.Blaster.B und Blaster.C unterscheiden sich vom Ursprungsschädling nur durch die Umbenennung der Wurmdatei "msblast.exe" in "penis32.exe" und "teekids.exe" sowie den entsprechend geänderten Einträgen in der Registry (HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run) unter "windows auto update" beziehungsweise ”Microsoft Inet xp..". Die Hersteller von Antivirensoftware haben ihre Signaturen auf den neuesten Stand gebracht und zum Download bereitgestellt.

Neben WORM_RPCSDBOT wird der Wurm auch als Transportmittel für weitere Trojaner mißbraucht. TROJ_MSBLAST.DRP ist eine Kombination aus W32.Blaster.C und dem Backdoor-Programm BKDR_LITH.103.A , das sich als ROOT32.EXE im Windows-Systemverzeichnis breit macht. Damit sind nun auch PCs von Heimanwendern direkt bedroht, da die Backdoor den Zugriff für jedermann auf das System ermöglicht. Bisher benutzte der Wurm die PCs nur als Verbreitungsplattform und hatte keine Schadfunktion.

Heise Online hat sich nach Absprache mit Microsoft Deutschland dazu entschlossen, die zum Stopfen des Sicherheitslochs benötigten Dateien auf dem verlagseigenen FTP-Server zu spiegeln, um eine Nicht-Erreichbarkeit der Microsoft-Server mit den Patches zumindest ansatzweise auszugleichen.

LINK
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Nachi.A bekämpft MSBlaster

Nachi wurde am 18.08.03 gefunden. Er arbeitet ähnlich wie Msblast und verwendet die Dateinamen DLLHOST.EXE sowie SVCHOST.EXE (TFTP-Server). Hinweise zu der Sicherheitslücke, die der Wurm ausnutzt, finden Sie in der Beschreibung für Lovsan.

Nachi versucht, einen aktiven Lovsan.A zu entfernen (der aktive Prozess wird beendet und die MSBLAST.EXE gelöscht). Ausserdem wird versucht, den Patch zum Schliessen der Sicherheitslücke von Microsoft für Windows 2000 bzw. XP zu installieren (allerdings nicht die deutsche Version).

Durch einen sog. Mutex stellt der Wurm sicher, dass er nur einmal auf dem System aktiv ist. Der Wurm trägt sich nicht in der Registry zum automatischen Start ein. Er stellt seine Arbeit im Jahr 2004 ein. Auf diesem Weg könnte man den Wurm also auch deaktivieren.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Sobig F. Version

Die Version F des Internet-Wurms "Sobig" verbreitet sich über eine integrierte SMTP-Engine via E-Mail. Der Wurm versucht sogenannte Trojaner einzuschleusen, die vertrauliche Daten wie Passworte ausspionieren können. Weiter ist Sobig.F in der Lage, ein Spam-Relay zu installieren, das Massen-Mails verschickt. Laut Antiviren-Spezialist Symantec öffnet Sobig.F außerdem die UDP-Ports 995 bis 999.

Name: W32.Sobig.F@mm
Alias:
Sobig.F [F-Secure]
W32/Sobig.F@MM [McAfee]
WORM_SOBIG.F [TrendMicro]

Größe des Anhangs: 72.000 (mit TELock gepackt)
Betriebssystem:Microsoft Windows
Art der Verbreitung: Massenmailing
Verbreitung:hoch
Risiko:mittel
Schadensfunktion:
Massenmailing (Absender gefälscht!)
Trojanisches Pferd, das Rechner als SPAM-Relay-Server nutzt.

Spezielle Entfernung: Tool
bekannt seit: 19. August 2003

Beschreibung:

W32.Sobig.F@mm ist ein Massenmail-Wurm, der sich mit seiner eigenen SMTP-Maschine an alle Adressen sendet, die er in Dateien mit der Endung findet:
.wab
.dbx
.htm
.html
.eml
.txt
.hlp
.mht

Bei der Infektion kopiert er sich als Datei WinPPR32.EXE in das Windows-Verzeichnis und sorgt mit den Registrierungsschlüsseln:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
TrayX = "%Windir%\WinPPR32.EXE /sinc"

und

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
TrayX = "%Windir%\WinPPR32.EXE /sinc"
dafür, dass er beim Rechnerstart aktiviert wird.

E-Mail-Verbreitung:
Von:
admin@internet.com oder existierenden E-Mail-Adressen, die auf einem infizierten Computer gefunden wurden (Achtung diese Absender-Adressen sind gefälscht)!

Betreff:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details

Nachrichtentext:
See the attached file for details
Please see the attached zip file for details.

Anhang:
Die angehängte Datei hat einen der folgenden Namen:

application.zip
application.pif
details.zip
details.pif
document_9446.zip
document_9446.pif
document_all.zip
document_all.pif
movie0045.zip
movie0045.pif
thank_you.zip
thank_you.pif
your_details.zip
your_details.pif
your_document.zip
your_document.pif
wicked_scr.zip
wicked_scr.scr

Der Wurm lädt aus dem Internet Dateien, die beim Ausführen dafür genutzt werden, den infizierten Rechner in einen SPAM-Relay-Server umzuwandeln.

Administratoren wird empfohlen die folgenden Ports zu sperren:
UDP 99x (hereinkommend)
UDP 8998 (herausgehend)

W32.Sobig.F@mm verbreitet sich nur bis zum 09.09.2003. Nach diesem Zeitpunkt deaktiviert er sich von selbst. Eine Verbreitung nach diesem Zeitpunkt ist möglich, wenn auf dem infizierten Rechner die Systemzeit falsch eingestellt ist!

Entfernungs-Programm:
Von F-Secure wird ein spezielles Entfernungs-Programm für W32.Sobig.F@mm zum kostenlosen Download bereitgestellt.

Generelle Hinweise:

Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, daß die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Sobig.F bremst Mailverkehr
Seit gestern bringt ein neuer Wurm weltweit Mailboxen zum Überquillen. Sobig.F nennt sich die neueste Variante des ersmals im Mai dieses Jahres aufgetretenen Wurmes Sobig.A, die immer mehr geplagte Computerbesitzer nach Hilfe rufen lässt.

So rennen auch beim Wiener Unternehmen Ikarus Software seit gestern die Telefone heiß. Man hilft gerne, doch hat der 30-Mann-Betrieb selbst mit 70.000 infizierten E-Mails pro Tag zu kämpfen.

Im Gegensatz zu seinen Vorgängern besitzt Sobig.F. integrierte SMTP-Engine, wodurch er nicht auf Outlook angewiesen ist, sondern auch ein vorhandenes Netzwerk nützen kann, um sich auf die angeschlossenen Rechner zu verbreiten. "Zudem", erklärt Ernst Krippl von Ikarus, "kann sich Sobig.F gleichzeitig an mehrere Empfänger versenden." Einmal durch einen Doppelklick auf den Anhang aktiviert, beginnt Sobig.F nach E-Mail-Adressen zu suchen und sich weiterzuversenden. Weil Sobig.F die Absenderadresse ebenfalls aus den gefundenen E-Mail-Adressen entnimmt, kann auch in vermeintlichen Nachrichten bekannter Absender der Wurm drinnen sein.

Sobig.F verbreitet sich in Nachrichten mit Subjects wie "Re: Thank you!", "Re: Details" oder "Re:Re: My Details" und Attachments wie "your_document.pif", "thank_you.pif" oder "details.pif". Im Textbereich ist entweder "See the attached file for details" oder "Please see the attached file for details" zu lesen.

Für alle, die an Sobig.F zu knabbern haben, stellt Ikarus ein kostenloses Entfernungstool zur Verfügung.

Aber der Wurm kann in drei Schritten auch manuell entfernt werden: 1. Löschen der Registryeinträge, 2. Reboot des PC und 3. Löschen der Dateien "WINPPR32.EXE" und "WINSTT32.DAT" aus dem Windows-Verzeichnis. Anfang nächster Woche müsste es laut Krippl mit dem Spuk wieder vorbei sein, jedoch wird man sich wohl schon auf den Nachfolger von Sobig.F gefasst machen müssen.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: W32 Swen A@mm

W32.Swen.A@mm ist ein Massenmail-Wurm, der sich mit seiner eigenen SMTP-Maschine versendet. Er sucht in Dateien mit der Endung .html, .asp, .eml, .dbx, .wab und .mbx nach E-Mail-Adressen.
Eine Verbreitung findet auch über das lokale Netzwerk, IRC und Kazaa statt.

Bei der Verbreitung über E-Mail nutzt er eine Sicherheitslücke in Microsoft Outlook und Outlook Express. Mit dieser Sicherheitslücke wird der Wurm sofort aktiviert, wenn die E-Mail gelesen wird, oder wenn die AutoVorschau aktiviert ist. Informationen zu dieser Sicherheitslücke finden Sie unter:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Das Aussehen der infizierte E-Mail ist sehr unterschiedlich. Von:, Betreff: und Nachrichtentext variieren stark.

Infektion:
Wird der inifzierte Anhang ausgeführt, so kopiert sich der Wurm in das Windows-Verzeichnis. Der Dateiname wird dabei frei gewählt. Zum automatischen Start wird die Registry verändert:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"<random_characters>" = "<random_characters>.exe /autorun"


<random_characters> ist der Name der kopierten Datei.

W32.Swen.A@mm generiert u.a. die Dateien Germs0.dbv und Swen1.dat im Windows-Verzeichnis.

Mit weiteren Registry-Einträgen sorgt der Wurm dafür, dass er aktiviert wird, wenn der Benutzer Dateien mit der Endung .exe, .reg, .scr, .com, .bat und .pif verwendet.

Im inifzierten System kann der Benutzer das Programm Regedit nicht mehr verwenden.

Auf infizierte Systeme werden regelmäßig gefälschte Meldungen einer MAPI32 Exception angezeigt.

E-Mail-Verbreitung:
Das Aussehen der infizierte E-Mail ist sehr unterschiedlich. Von:, Betreff: und Nachrichtentext variieren stark.

Eine Nachricht gibt sich als Security-Benachrichtigung von Microsoft aus. Die angehängte Datei ist infiziert.

Aliase
Worm.Automat.AHB [Symantec vorläufiger Name]
Swen [F-Secure]
W32/Swen@mm [McAfee]
W32/Gibe-F [Sophos]
WORM_SWEN.A [Trend]

Größe des Anhangs: 106496
Art der Verbreitung: Massenmailing, Netzwerk
Schadensfunktion: Massenmailing
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Sober (Sober.A)

Der Wurm Sober / Sober.A gibt sich als Virenwarnung aus. Der Wurm wurde in Visual Basic programmiert und mit einer Variante von UPX komprimiert. Für den Versand infizierter EMails wird eine eigene SMTP-Engine.eingesetzt. Dabei verwendet er verschiedene Bezeichnungen für die angehängte Datei. Bezichnungen des Anhhangs können folgende Bezeichnungen tragen:

anti_virusdoc.pif
check-patch.exe
playme.exe

Sober / Sober.A trägt sich in der Registry unter den folgeneden Schlüsseln ein:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
oder
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Dabei können die Pfade folgendermassen heissen:
%SysDir%\similare.exe
%SysDir%\sysrunll.exe

Sober.A setzt als Absender im Kopf der Mail folgendes ein:
X-Mailer: Microsoft Outlook Express 6.00.260
X-Mailer: Microsoft Outlook Express 5.00.301
X-Mailer: Safety_Mail Server
X-Mailer: Microsoft Outlook IMO, Build 9.0.2
X-Mailer: Microsoft Outlook IMO, Build 9.0.

Das Subject infizierter EMails wird folgender Liste entnommen:
Neuer Virus im Umlauf!
Back At The Funny Farm
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
Überraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Ich Liebe Dich

Die Namen der Attachments stammen aus der Liste:
AntiVirusDoc.pif
Check-Patch.bat
Screen_Doku.scr
Removal-Tool.exe
Perversionen.scr
CM-Recover.com
Bild.scr
schnitzel.exe
robot_mail.scr
RobotMailer.com
Privat.exe
AntiTrojan.exe
Mausi.scr
NackiDei.com
Anti-Sob.bat
security.pif
Funny.scr
Liebe.com
Odin_Worm.exe
check-patch.bat
anti_virusdoc.pif
perversion.scr
removal-tool.exe
screen_doc.scr
potency.pif
CM-Recover.com
pic.scr
playme.exe
robot_mailer.pif
private.exe
anti-trojan.exe
love.com
nacked.com
anti-Sob.bat
NAV.pif
funny.scr
little-scr.scr
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurm: Mimail alias Mimail.C, Mimail.D, Mimail.A, Mimail., Mimail.G, Mimail.H, Mimail.F


Der Wurm Mimail breitet sich per E-Mail aus, die vom Administrator des eigenen Servers (admin@eigene.domain) zu kommen scheinen. Der Betreff ist "your account" (und i.d.R. zufällige Buchstaben nach mehreren Leerzeichen) und der Anhang heisst message.zip. Enthalten ist eine HTML-Datei (message.html), die den Wurm als EXE-Datei enthält. Der Text der Mail ist:

Hello there,

I would like to inform you about important information regarding your
email address. This email address will be expiring.
Please read attachment for details.

---
Best regards, Administrator

gefolgt von den zufälligen Buchstaben am Ende des Betreffs.

Wenn message.html mit einem Internet Explorer geöffnet wird, der die Sicherheitslücke
http://www.microsoft.com/technet/security/bulletin/MS02-015.asp

enthält, wird eine Datei foo.exe angelegt und ausgeführt. Hierbei wird im Browser der Text "Please wait loading message ....." in großen roten Buchstaben auf schwarzem Grund angezeigt. Der Wurm verschickt sich an Adressen, die er auf der Festplatte gefunden hat.
Um aktiv zu bleiben, kopiert sich der Wurm als "videodrv.exe" in das Windows-Verzeichnis und trägt sich zum automatischen Start ein:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
VideoDriver = %WinDir%\videodrv.exe

Ausserdem erzeugt der Wurm folgenden Dateien im Windows-Verzeichnis:
exe.tmp: Wurm in HTML-Datei
zip.tmp: HTML-Datei in ZIP-Archiv
eml.tmp: Liste der gefundenen E-Mail-Adressen

Variante: Mimail.C
Alias: Bics , WatchNet
Länge: 12832

Mimail.C wurde das erste Mail am 31.10.2003 gefunden. Infizierte EMails besitzen ein ZIP-Archiv als Attachment, das die Datei

PHOTOS.JPG.EXE

enthält. Der Wurm versucht DoS-Angriffe zu starten und Informationen von infizierten Systemen zu stehlen. Der Wurm-Code befindet sich in einer PE EXE-Datei, die mit UPX komprimiert wurde (12.832 Byte). Die Länge der dekomprimierten Datei beträgt 28.192.
Wird der Wurm-Code gestartet, installiert er sich in der Registry als Service. Er wird dadurch auf Windows 9x-Systemen in der Task-Liste nicht sichtbar. Mimail.C kopiert seinen Code unter dem Namen

NETWATCH.EXE

in das Windows System-Verzeichnis und fügt einen Startup-Key in die Registry ein:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"NetWatch32" = "%windir%\netwatch.exe"

%windir% ist das Windows-Verzeichnis.
Anschließend löscht er im Windows-Verzeichnis folgende Dateien, falls diese vorhanden sind:

zip.tmp
exe.tmp
eml.tmp

Danach kopiert der Wurm seinen Code unter dem Namen EXE.TMP

in das Windows-Verzeichnis und generiert unter dem Namen ZIP.TMP

ein ZIP-Archiv. Diese Datei enthält eine Kopie des Wurm-Codes unter dem Namen PHOTOS.JPG.EXE
Schließlich aktiviert der Wurm seine Schadfunktion.

Ausbreitung per EMail

Mimail.C versendet infizierte EMails, die ein ZIP-Archiv als Attachment besitzt. Das Archiv enthält die Datei PHOTOS.JPG.EXE. Der Wurm versucht Empfänger infizierter EMails zu täuschen, indem er als Namen "james@&quot; und als Domain die Domain des Empfängers verwendet. Absender infizierter EMails:

james@(Domain des Empfängers)

Subject:
Re[2]: our private photos <einige zufällíg gewählte Zeichen>

Inhalt der EMail:
Hello Dear!,

Finally i've found possibility to right u, my lovely girl All our photos which i've made at the beach (even when u're without ur bh) photos are great! This evening i'll come and we'll make the best SEX


Right now enjoy the photos. Kiss, James. <einige zufällig gewählte Zeichen>

Attachment:
photos.zip

Mimail.C benutzt keine Exploits, um seinen Code zu starten. Der Wurm wird nur aktiviert, wenn der Empfänger das Archiv auspackt und anschließend aufruft.
Der Wurm beschafft sich EMail-Adressen aus Dateien, die folgende Extensions besitzen:

bmp
jpg
gif
exe
dll
avi
mpg
mp3
vxd
ocx
psd
tif
zip
rar
pdf
cab
wav
com

Die gefunden Adressen werden in EML.TMP gespeichert.
Der Wurm versucht, die SMTP-Engine der Empfänger direkt zu erreichen.

Schadfuntkion

Der Wurm versucht DoS-Angriffe auf folgende Sites zu starten:

darkprofits.com
darkprofits.net
www.darkprofits.com
www.darkprofits.net

Diese Sites werden gefährdet, wenn sich der Wurm stark verbreitet.
Zusätzlich sammelt der Wurm von infizierten Systemen Informationen, die er in verschlüsselter Form in die Datei C:\TMPE.TMP
speichert. Diese Datei wird versandt.

Variante: Mimail.D
Länge: 24608

Mimail.D wurde das erste Mal am 01.11.2003 gefunden. Diese Variante ist eng mit Mimail.A verwandt.

Der Wurm-Code befindet sich in einer EXE-Datei, die nicht komprimiert wurde.

Mimail.D installiert sich im Windows-Verzeichnis unter dem Namen

VIDEODRIVE.EXE

und trägt in der Registry einen Startup-Key ein:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"VideoDriver" = "%windir%\videodrv.exe"

%windir% ist der Name des Windows-Verzeichnis.
Infizierte EMails enthalten folgende Informationen. Subject:

your account (einige zufällig gewählte Zeichen)

Body:
Hello there,


I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.


Best regards, Administrator (einige zufällig gewählte Zeichen)

Attachment:
message.zip

Das Attachment (Archiv) enthält eine Datei
message.htm

Wird diese Datei aufgerufen, wird die Datei epo.exe
gespeichert und gestartet, falls die Sicherheitslücke des MS Internet Explorers noch nicht geschlossen wurde, siehe
http://www.microsoft.com/technet/security/bulletin/MS03-014.asp

Mimail.D enthält keine Schadfunktion.

Variante: Mimail.E

Mimail.E wurde das erste Mal am 01.11.2003 gefunden. Diese Variante ist eng mit Mimail.C verwandt.

Mimail.E unterscheidet sich gegenüber Mimail.C nur in fünf Punkten:

Der Wurm-Code wurde mit UPX komprimiert. Die Länge beträgt 10.784 Byte (komprimiert) bzw. 23.072 Byte (dekomprimiert).
Mimail.E installiert sich im Windows-Verzeichnis unter dem Namen "CNFRM.EXE".
Der Wurm startet DoS-Attacken auf andere Web-Sites (s.u.).
Der Inhalt infizierter EMails ist unterschiedlich (s.u).
Mimail.E enthält im Gegensatz zu Mimail.C keine Spionage-Funktion.
Mimail.E trägt einen Startup-Key in der Registry ein:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Cnfrm32" = "%windir\cnfrm.exe"

%windir% ist der Name des Windows-Verzeichnis.
Mimail.E attackiert folgende Web-Sites:

spews.org
spamhaus.org
spamcop.net
www.spews.org
www.spamhaus.org
www.spamcop.net

Inhalt infizierter EMails: Absender:
john@(Domain des Empfängers)

Subject:
don't be late! (einige zufällig gewählte Zeichen)

Body:
Will meet tonight as we agreed, because on Wednesday I don't
think I'll make it,


so don't be late. And yes, by the way here is the file you asked for. It's all written there. See you.


(einige zufällig gewählte Zeichen)

Attachment.
readnow.zip

Dieses Attachment enthält den Wurm-Code unter dem Namen:
READNOW.DOC.SCR

Variante: Mimail.F


Mimail.F wurde das erste Mal am 02.11.2003 gefunden. Diese Variante ist eng mit Mimail.C verwandt.

Mimail.F unterscheidet sich gegenüber Mimail.C nur in fünf Punkten:

Der Wurm-Code wurde mit UPX komprimiert. Die Länge beträgt 10.784 Byte (komprimiert) bzw. 23.072 Byte (dekomprimiert).
Mimail.F installiert sich im Windows-Verzeichnis unter dem Namen "CNFRM.EXE".
Der Wurm startet DoS-Attacken auf andere Web-Sites (s.u.).
Der Inhalt infizierter EMails ist unterschiedlich.
Mimail.F enthält im Gegensatz zu Mimail.C keine Spionage-Funktion.
Mimail.F trägt einen Startup-Key in der Registry ein:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Cnfrm32" = "%windir\cnfrm.exe"

%windir% ist der Name des Windows-Verzeichnis.
Mimail.F attackiert folgende Web-Sites:

fethard.biz
fethard-finance.com
www.fethard.biz
www.fethard-finance.com

Inhalt infizierter EMails: Absender:
john@(Domain des Empfängers)

Subject:
don't be late! (einige zufällig gewählte Zeichen)

Body:
Will meet tonight as we agreed, because on Wednesday I don't
think I'll make it,


so don't be late. And yes, by the way here is the file you asked for. It's all written there. See you.


(einige zufällig gewählte Zeichen)

Attachment.
readnow.zip

Dieses Attachment enthält den Wurm-Code unter dem Namen:
READNOW.DOC.SCR

Variante: Mimail.G

Mimail.G wurde das erste Mal am 02.11.2003 gefunden. Diese Variante ist eng mit Mimail.C verwandt.

Mimail.G unterscheidet sich gegenüber Mimail.C nur in fünf Punkten:


Der Wurm-Code wurde mit UPX komprimiert. Die Länge beträgt 10.784 Byte (komprimiert) bzw. 22.560 Byte (dekomprimiert).
Mimail.G installiert sich im Windows-Verzeichnis unter dem Namen "SYSLOAD32.EXE".
Der Wurm startet DoS-Attacken auf andere Web-Sites (s.u.).
Der Inhalt infizierter EMails ist unterschiedlich.
Mimail.G enthält im Gegensatz zu Mimail.C keine Spionage-Funktion.
Mimail.G trägt einen Startup-Key in der Registry ein:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SystemLoad32" = "%windir\sysload32.exe"

%windir% ist der Name des Windows-Verzeichnis.
Mimail.G attackiert folgende Web-Sites:

mysupersales.com
www.mysupersales.com

Inhalt infizierter EMails: Absender:
john@(Domain des Empfängers)

Subject:
don't be late! (einige zufällig gewählte Zeichen)

Body:
Will meet tonight as we agreed, because on Wednesday I don't
think I'll make it,


so don't be late. And yes, by the way here is the file you asked for. It's all written there. See you.


(einige zufällig gewählte Zeichen)

Attachment.
readnow.zip

Dieses Attachment enthält den Wurm-Code unter dem Namen:
READNOW.DOC.SCR

Variante: Mimail.H

Mimail.H wurde das erste Mal am 02.11.2003 gefunden. Diese Variante ist eng mit Mimail.C verwandt.

Mimail.H unterscheidet sich gegenüber Mimail.C nur in fünf Punkten:

Der Wurm-Code wurde mit UPX komprimiert. Die Länge beträgt 10.784 Byte (komprimiert) bzw. 23.072 Byte (dekomprimiert).
Mimail.H installiert sich im Windows-Verzeichnis unter dem Namen "CNFRM33.EXE".
Der Wurm startet DoS-Attacken auf andere Web-Sites (s.u.).
Der Inhalt infizierter EMails ist unterschiedlich.
Mimail.H enthält im Gegensatz zu Mimail.C keine Spionage-Funktion.
Mimail.H trägt einen Startup-Key in der Registry ein:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Cn323" = "%windir\cnfrm33.exe"

%windir% ist der Name des Windows-Verzeichnis.
Mimail.H attackiert folgende Web-Sites:

spamhaus.org
spews.org
www.spamhaus.org
www.spews.org

Inhalt infizierter EMails: Absender:
john@(Domain des Empfängers)

Subject:
don't be late! (einige zufällig gewählte Zeichen)

Body:
Will meet tonight as we agreed, because on Wednesday I don't
think I'll make it,


so don't be late. And yes, by the way here is the file you asked for. It's all written there. See you.


(einige zufällig gewählte Zeichen)

Attachment.
readnow.zip

Dieses Attachment enthält den Wurm-Code unter dem Namen:
READNOW.DOC.SCR
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Deutlicher Anstieg von Internet-Attacken

823 neue Viren und Würmer hat Internet Security Systems http://www.iss.net (ISS) im dritten Quartal weltweit gezählt. Damit ist die Anzahl der Plagegeister gegenüber dem letzten Vierteljahr um 26 Prozent gestiegen. Von Juli bis September 2003 hat ISS rund 150 Mio. Security Events beobachtet, das entspricht einem Anstieg von neun Prozent. Das sind die Ergebnisse des Internet Risk Impact Summary (IRIS) Reports, der heute, Dienstag, in Atlanta präsentiert wurde. Der Dienstag war auch mit durchschnittlich 2,1 Mio. Ereignissen der gefährlichste Tag für die Internet-Sicherheit. 34,7 Prozent aller Vorfälle geschahen am Wochenende, was ISS mit der reduzierten Personalstärke in den Security-Abteilungen erklärt. Europa hat als Quelle von Net-Attacken im Vergleich zu Q2 um 1,4 Prozent zugelegt und landet damit auf Rang zwei. An einsamer Spitze liegt aber nach wie vor Nordamerika, wo fast 85 Prozent aller Angriffe ihren Ursprung haben.

Der AlertCon, das tägliche Sicherheitsbarometer für das Internet, stand während Q3 an 37 Tagen auf dem niedrigsten Level-1, 44 Tage auf Level-2 und elf Tage auf dem zweithöchsten Level-3. Das bestätigt einen deutlichen Anstieg von sicherheitsrelevanten Ereignissen im Internet. Zum Vergleich: Im zweiten Quartal war der höchste AlertCon-Level, der erreicht wurde, die Stufe-2 - und dies nur für insgesamt acht Tage. Die Internet Security Systems ist ein internationales Unternehmen für die Abwehr von Internet-Gefahren und Bedrohungen. Der Security-Anbieter beliefert Kunden mit Produkten und Services zur Minimierung von Geschäftsrisiken.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Neue Variante Mimail.J möchte Ihre Kreditkarten Infos

Der Wurm Mimail breitet sich per E-Mail aus, die vom Administrator des eigenen Servers (admin@eigene.domain) zu kommen scheinen. Der Betreff ist "your account" (und i.d.R. zufällige Buchstaben nach mehreren Leerzeichen) und der Anhang heisst message.zip. Enthalten ist eine HTML-Datei (message.html), die den Wurm als EXE-Datei enthält. Der Text der Mail ist Mimail.I ist eine neue Variante von MiMail, die das erste Mal am 14.11.2003 gefunden wurde. Sie täuscht dem Empfänger der infizierten EMail vor, dass der Absender der Nachricht die Firma "Paypal On-line Payment Service" ist. MiMail.I stiehlt Kreditkarten-Informationen.

Inhalt infizierter EMails:

From: "PayPal.com" donotreply@paypal.com
Subject: YOUR PAYPAL.COM ACCOUNT EXPIRES

Body: Dear PayPal member,

PayPal would like to inform you about some important information
regarding your PayPal account. This account, which is associated
with this email address will be expiring within five business
days. We apologize for any inconvenience that this may cause,
but this is occurring because all of our customers are required
to update their account settings with their personal information.

We are taking these actions because we are implementing a new
security policy on our website to insure everyone's absolute
privacy. To avoid any interruption in PayPal services then you
will need to run the application that we have sent with this
email (see attachment) and follow the instructions. Please do
not send your personal information through email, as it will not
be as secure.

IMPORTANT! If you do not update your information with our secure
application within the next five business days then we will be
forced to deactivate your account and you will not be able to
use your PayPal account any longer. It is strongly recommended
that you take a few minutes out of your busy day and complete
this now.

DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an
automated message system and the reply will not be received.

Thank you for using PayPal.

Attachment: www.paypal.com.scr

Variante: Mimail.J
Länge: 13856


MiMail.J, der am 17.11.2003 gefunden wurde, spiegelt Benutzer ebenso wie Mimail.I vor, dass die infizierte EMail vom Paypal On-line Payment Service kommt. Der Code wurde mit UPX komprimiert. MiMail.J versucht ebenfalls Kreditkarten-Informationen zu stehlen.

Der Code von Mimail.J und Mimail.I ist bis auf die Texte weitgehend identisch.

EMails, die MiMail.J enthalten, besitzen folgenden Inhalt:

From: "PayPal.com" Do_Not_Reply@paypal.com

Subject: IMPORTANT

Attachment: www.paypal.com.pif

Dear PayPal member,

We regret to inform you that your account is about to be expired in next
five business days. To avoid suspension of your account you have to
reactivate it by providing us with your personal information.

To update your personal profile and continue using PayPal services you have
to run the attached application to this email. Just run it and follow the
instructions.

IMPORTANT! If you ignore this alert, your account will be suspended in next
five business days and you will not be able to use PayPal anymore.

Thank you for using PayPal.

Falls der Name des Attachments
InfoUpdate.exe

lautet, wurde die EMail vermutlich vom Autoren direkt versandt.
Die Infektionsroutine und die Schadfunktion ist identisch mit Mimail.I.

Entfernen von Mimail.J


Den Registry-Eintrag

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SvcHost32]

entfernen.
Das System neu starten
Im Windows-Verzeichnis die Datei svchost32.exe löschen.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Sophos warnt vor schlüpfriger E-Mail

Sophos, spezialisierter Entwickler von Antiviren- und Antispam-Software für Unternehmen, hat eine Vielzahl von Meldungen zum neuen Trojanischen Pferd Sysbug erhalten. Sysbug verbreitet sich demnach über eine schlüpfrige E-Mail und tarnt sich als Attachment mit Nacktfotos.
Laut Informationen von Sophos könnten Hacker aus der Ferne unautorisiert auf den infizierten Computer zugreifen, sobald der Anhang geöffnet wird. Die mit dem Virus behaftete E-Mail ist an der Betreffzeile "Re(2) Mary" zu erkennen und enthält einen englischen Nachrichtentext, der auf eine heiße Sexnacht und entsprechende Fotos Bezug nimmt.

"Dieses Trojanische Pferd wurde massenhaft verschickt, um so viele Anwender wie möglich damit zu erreichen", erklärt Graham Cluley, Senior Technology Consultant bei Sophos. Computernutzer sollten extrem vorsichtig beim Öffnen von Attachments sein, die sie nicht erwartet oder angefordert hätten.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Mimail hängt Swen ab

Der russische Sicherheitsexperte Kaspersky Labs http://www.kaspersky.com hat die Viren-Top-Twenty für November vorgestellt. Als neuer Spitzenreiter platzierte sich der Wurm Mimail.c, der die Liste mit 34,57 Prozent Häufigkeit nun anführt. Zweitplazierter ist Mimail.g mit großem Abstand und mit 15 Prozent Verbreitung.

Sechs neue Modifikationen des Mimail schafften es diesmal in die Top-20 und machten insgesamt fast 62 Prozent der Viren-Häufigkeit aus. Diese herausragende Performance ist ein Ergebnis der Veröffentlichung des Codes aus der ersten Mimail-Variante im Internet. Mimail.c verdrängte damit den Spitzenreiter der Oktober-Liste, I-Worm.Swen, auf den dritten Platz (13 Prozent), während der unbestrittene Favorit von 2003, Sobig.f, sogar auf Platz elf abrutschte.

Forsch nach oben schreitet der deutsche Wurm Sober, der mit 12 Prozent einen guten vierten Platz einnimmt. Sober schaffte es auch, als einziger Virus, seine Position zu verbessern. Neueinsteiger bei Kaspersky sind die Mimail-Wurm-Familie c, e, f, g, h, j und Hawawi.g. Ein Comeback, mit Platz sechs und sieben, feierten die "alten Freunde" Klez und Lentin, die in letzter Zeit nur in den hinteren Rängen zu finden waren. Andere Rückkehrer sind die Würmer Dumaru und Lovelorn, wobei Dumaru.a sofort die achte Stellung einnahm.

Im November verloren die Trojanerprogramme (backdoor-utilities für den unberechtigten Zugang) an Boden, Agobot und Sdbot rutschten sogar um sieben und 14 Positionen im Vergleich zum Vormonat an das Ende der Liste. So konnten die Internetwürmer die Virenstatistik monopolisieren. Sie überließen den Trojanerprogrammen ein wenig mehr als ein halbes Prozent an Häufigkeit und konnten die Computerviren gänzlich aus den Top-Twenty verdrängen.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Neuer Wurm Scold / W32/Scold-MM treibt sein Unwesen
Der Managed-Service-Provider für E-Mail-Sicherheit MessageLabs hat Kopien eines neuen Virus mit dem Namen W32/Scold-MM in beträchtlicher Anzahl abgefangen. Der Virus versteckt sich in einem E-Mail-Attachment, dessen Dateiname per Zufall generiert wird. Die Dateinamen-Erweiterung lautet jedoch immer .scr und möchte dem Empfänger suggerieren, dass es sich um einen "heißen" Bildschirmschoner handelt.

Bei Scold handelt es sich um einen Massenmail-Virus mit integrierter SMTP-Engine, der nicht nur aus dem Adressbuch des infizierten Rechners, sondern auch aus anderen Ordnern und Dokumenten auf dessen Festplatte Adressen extrahieren kann. Die SMTP-Engine liest die DNS-Servereinstellungen des infizierten Computers und verwendet einen fest codierten Standardserver, wenn kein Server vorhanden ist.

Der Nachrichtentext variiert stark, so dass infizierte E-Mails nicht auf Anhieb als solche erkennbar sind. Als Betreff werden Texte wie "when it's cold outside she gives me warm inside" verwendet. Die erste betroffene Mail stammt aus Frankreich, der Löwenanteil der infizierten Nachrichten wurde jedoch aus Australien und Ägypten verschickt.

Danke an Franky für diesen Hinweis Name: Scold
Typ: Wurm
Scold ist ein einfacher Wurm, der sich per E-Mail verbreitet.
Variante: Scold.A
Länge: 28160


Scold.A wurde in Visual Basic geschrieben und mit UPX komprimiert. Die komprimierte Datei ist 28.160 Bytes gross. Der Autor versucht, durch unterschiedliche Anordnung der verwendeten Texte in der Datei eine einfache Erkennung zu verhindern.

Der Wurm kopiert sich bei Ausführung des Anhangs als

Warm.scr

in das Windows-System-Verzeichnis. In der Registry erfolgt der Eintrag zum automatischen Start in
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

als
ExeName32.

Der Betreff der E-Mail ist
When It's Cold Outside She Gives Me Warm Inside

zum Teil mit vorangestelltem "Fw:" oder "Re:". Der Text enthält eine der folgenden Zeilen:
You will love this cute picture.
Enjoy this great picture.
Don't miss this cool picture.

Es folgt Text wie z.B.
Free Online Virus Scan.
No viruses or suspicious files were found in the attached file.

Die Mails werden an alle Adressen im Adressbuch und an Adressen, die in HTML-Dateien auf dem infizierten System vorhanden sind, geschickt.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Wurmwarnung: Sober.C

Sober.C, der sich per EMails verbreitet, gibt vor, dass sich auf dem betreffenden PC illegale Dateien befinden. Offensichtlich breitet er sich im Gegensatz zu Sober.B in Deutschland aus. Das Attachment infizierter EMails besitzen die Extension .BAT, .EXE, .COM, .CMD, .PIF oder .SCR. Sober.C ist offensichtlich eng mit Sober.B verwandt.

Sober.C enthält ebenso wie Sober.B Texte, abhängig von der Domain des Empfängers, in deutscher oder englischer Sprache.

Der Text erweckt den Eindruck, dass die EMail von der Polizei versandt wurde, die beim Empfänger illegale Dateien mit Musik, Filmen oder Software auf dem System des Empfängers festgestellt hat. Der Benutzer wird aufgefordert, den angehängten Text zu lesen, der in Wirklichkeit den Wurm-Code enthält.

Sober.C wurde in Visual Basic programmiert und anschließend mit einer Variante von UPX komprimiert. Der Wurm enthält eine eigene SMTP-Engine, die er für den Versand infizierter EMaisl benutzt.

Wird der Wurm aufgerufen, gibt er zunächst eine Fehlermeldung aus:

Runtime Error

<Datei-Name; has caused an unknown error.

Dabei ist "Datei-Name" der Name des Attachments.
Sober.C kopiert drei Kopien seines Codes in das Windows System-Verzeichnis. Die erste Kopie trägt den Namen

SYSHOSTX.EXE

Die beiden anderen Kopien tragen zufällig gewählte Namen. Sober.C benutzt für die Generierung der Datei-Namen folgende Zeichenketten:
win
svc
task
sys
dll
host
end
dir
ms
run
ex
log
on
reg
ie
32
16
64
disk
api
app
con
mon
drv
crypt
dat
dx
diag
str
xp
hex

Die EMail-Adressen, die sich der Wurm für den Versand aus dem infizierten System beschafft hat, speichert er in die Datei:
SAVESYSS.DLL

Zusätzlich generiert er zwei weitere Dateien
HUMGLY.LKUR
YFJQ.YQWM

im gleichen Verzeichnis.
Sober.C generiert Startup Keys in der Registry

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

und zusätzlich
[HKEY_USERS\<userID>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Sober.C speichert zwei Kopien seines Codes im System-Speicher. Wird die aktive Task gelöscht, wird die andere Kopie sofort aktiviert. Außerdem regeneriert er die die Startup Keys im Abstand von wenigen Sekunden. Dadurch wird das Säubern eines infizierten Systems erschwert.
Sober.C beschafft sich für den Versand EMail-Adressen aus Dateien, die folgende Extensions besitzen:

htt
rtf
doc
xls
ini
mdb
txt
htm
html
wab
pst
fdb
cfg
ldb
eml
abc
ldif
nab
adp
mdw
mda
mde
ade
sln
dsw
dsp
vap
php
nsf
asp
shtml
shtm
dbx
hlp
mht
nfo

Die gefundenen Adressen speichert er (als ASCII) in
SAVESYSS.DLL

im Windows System-Verzeichnis.
Ein Beispiel für eine infizierte EMail in deutscher Sprache: Body:

Sehr geehrte Damen und Herren,

das herunterladen von Filmen, Software und MP3s ist illegal und
somit Strafbar.

Wir mochten Ihnen hiermit vorab mitteilen, dass Ihr Rechner
unter der IP 66.35.158.84 erfasst wurde. Der Inhalt Ihres
Rechner wurde als Beweismittel sichergestellt und es wird ein
Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Moglichkeit zur Stellungnahme wird
Ihnen in den nachsten Tagen schriftlich zugestellt. Die von uns
gesammelten Daten unter dem Aktenzeichen #36616 sind fur Sie und
ggf. Ihrem Anwalt beigefugt und einsehbar.

Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit
gemacht haben, wurde die Herkunft dieser Mail verschleiert.

Nahere Auskunft erteilt Ihnen die Kriminalpolizei Dusseldorf,
Europa Sonderkommission "Internet Downloads" Rufnummer innerhalb
Deutschland (0211) 870 - 0 oder (0211) 870 - 6868 Rufnummer
auberhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868

Hochachtungsvoll

Attachment.
<file_name>.txt.exe

Die Namen der Attachments infizierter EMails werden zufällig generiert.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------