Geschrieben von fmann am 08.10.2002 um 08:09:
Hier infos von
Network-Secure :
"Ein neuer und mit dem Laufzeitpacker UPX versteckter Wurm verbreitet sich offenbar mit größerer Geschwindigkeit im Netz. Der Wurm wird als Anhang einer Email verschickt, die wechselnde Überschriften und Texte enthalten kann:
$150 FREE Bonus!
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Confirmation of Recipes…
Correction of errors
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
hello!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
Payment notices
Please Help...
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
Your Gift
Your News Alert
Der Dateianhang kann, muss aber nicht folgende Namen tragen:
Setup.exe
3 July 2002.doc.pif
Wird die Datei ausgeführt, beendet der Wurm zunächst die Prozesse folgender Schutzprogramme:
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
Danach kopiert der Wurm infektiöse Dateien unter:
C:\%System%\iccyoa.dll
C:\%System%\lgguqaa.dll
C:\%System%\roomuaa.dll
C:\%Windir%\okkqsa.dat
C:\%Windir%\ussiwa.dat
Sowie:
C:\WINDOWS\Startmenü\Programe\Autostart\CUU.EXE (wenn ein Betriebssystem unter Windows2000 läuft)
C:\Dokumente und Einstellungen\<aktueller Benutzername>\Startmenü\Programme\Autostart\CTI.EXE
Anschließend trägt er einen Schlüssel zwecks Autostart in die Windows Registry ein:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
Hier sollte der Prozessname der oben aufgeführten angehängten Dateien stehen
Schlußendlich durchsucht der Wurm folgende Dateien nach Email-Adressen:
MMF
NCH
MBX
EML
TBB
DBX
OCS
Der Wurm benutzt eine Sicherheitslücke des Internet-Explorer zur Verbreitung. Benutzer von Outlook und Outlook-Express sollten also besonders vorsichtig sein und unbedingt überprüfen, ob das Secure-Update bereits installiert ist. Sie finden es unter:
Microsoft Secure-Update
Zur Information:
Besonders Benutzer von Email-Clienten wie MS Outlook oder Outlook-Express und andere Email-Clienten mit automatischer Vorschau sollten besonders vorsichtig mit Nachrichten wie dieser umgehen, denn auch das Attachment wird automatisch gestartet. Aktualisieren Sie also unbedingt die Signaturfiles Ihres bevorzugten Virenscanners oder führen bei Verdacht auf Befall mit dem Wurm einen Online-Scan unseres Kooperations-Partners TrendMicro durch."
Weiterhin ein Link zu Bitdefender mit einen Removal-Tool:
Bitdefender Bugbear-Removal-Tool
Geschrieben von fmann am 10.10.2002 um 08:44:
Hier die Ausführungen von
Trend Micro zum Wurm:
Der Computerwurm öffnet Port 36794 und erlaubt damit einem angeschlossenen Remote User Informationen zu erhalten, Dateien zu manipulieren und Programme am betroffenen System auszuführen.
Die versendeten eMails haben keinen Textinhalt, folgende Betreffszeilen sind möglich:
$ 150 FREE Bonus!
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Confirmation of Recipes…
Correction of errors
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
hello!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
Payment notices
Please Help...
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
Your News Alert
Your Gift
Der Computerwurm verändert das VON-Feld der eMail, das AN-Feld enthält Adressen aus dem Outlook-Adressbuch und aus empfangenen und geschriebenen eMails des Benutzers. Das Attachement der eMail kann eines der folgenden sein:
Eine Kombination aus den Textzeilen: setup, card, docs, news, image, images, pics, resume, photo, video, music oder song data. Die Endungen sind entweder SCR, PIF oder EXE. Oder eine bestehende Systemdatei mit einer dieser Endungen: SCR, PIF oder EXE.
Die infizierte eMail nutzt eine bekannte Sicherheitslücke des Internet Explorers 5.01 und 5.5, die die angefügte .EXE-Datei automatisch ausführt, wenn die eMail geöffnet oder in der Vorschau angeschaut wird.
Der Computerwurm ist in einem UPX_komprimierten Attachement enthalten und legt eine Kopie von sich selbst im Windows System Verzeichnis ab. Der Dateiname enthält vier Zeichen und ist zufällig generiert.
Um seinen automatischen Start bei jedem Hochfahren des Computers sicher zu stellen, legt er folgenden Registry Eintrag ab:
HKEY_LOCAL_MACHINE/Software/MicrosoftWindows/CurrentVersion/RunOnce random string = %System%/random filename.EXE
Um weiter sicher zu stellen, dass der Computerwurm ausgeführt wird, wenn der Computer neu gestartet wird, kopiert er sich selbst in den Windows Start Ordner. Der Dateiname enthält drei Zeichen und ist zufällig generiert. Er nutzt den folgenden Registry Eintrag:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders, Startup
Nachdem sich der Computerwurm selbst installiert hat, stellt er folgende Bedrohungen dar:
Bedrohung 1: Mass Mailer
Dieser Computerwurm nutzt Simple Mail Transport Protocol (SMTP) Kommandos und liest den Registry Schlüssel um einen SMTP Server zu bekommen, den er nutzen kann, um sich selbst zu verteilen:
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Account Manager/Accounts/%Default Mail Account%, “SMTP Server”
Der Wert der %Default Mail Account% Variablen wird von diesem Registry Schlüsse, genutzt:
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Account Manager, Default Mail Account.
Der Computerwurm ergänzt mit seinen drei ähnlichen SMTP Engines die Kommunikationsaktivitäten, zwei davon werden genutzt um gefälschte eMails zu verschicken. Diese enthalten eine verschlüsselte Version des Computerwurms und gehen an ausgewählte Adressen.
Die eMailadressen stammen aus dem Adressbuch, gecachten eMails und der Mailbox des infizierten Computers. Der Computerwurm findet die Adressen indem er das ganze Stammverzeichnis nach Dateien mit den folgenden Endungen durchsucht:
.ODS
.INBOX
.MMF
.NCH
.MBX
.EML
.TBB
.DBX
Die eMails werden an die ersten 170 gefundenen Adressen geschickt. Der Computerwurm sendet sich nicht an eMail-Adressen, die in folgendem Verzeichnis gefunden wurden. Dies dient dazu, dass der Computerwurm nicht an bereits infizierte Computer geschickt werden.
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Account Manager/Accounts/%Default Mail Account%, “SMTP Email Address”
Dieser Registry Schlüssel bezieht sich normalerweise auf die eMail-Adresse des eingelogten Benutzers.
Er verändert das VON-Feld der eMails in dem er die eMail-Adresse des Benutzers einsetzt. Dafür nutzt er diesen Registry Schlüssel:
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Account Manager/Accounts/%Default Mail Account%, “SMTP Display Name”
Das Attachement enthält den verschlüsselten Computerwurm. Der Dateiname ist SETUP.EXE, der Computerwurm nimmt jedoch teilweise auch den ersten gefundenen Dateinamen der persönlichen Ordner des Users. Dies erzeugt doppelte Dateiendungen.
Der Pfad dieses Ordners ist gewöhnlich C:/My Documents oder C:/Documents and Settings/%User Name%/My Documents und wird vom Computerwurm durch folgenden Registry Eintrag genutzt:
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders, Personal
Da der persönliche Ordner oft eine Datei namens DESKTOP:INI enthält, um ein Customizing zu ermöglichen, entfernt der Computerwurm .INI von der Liste der möglichen Attachement-Namen.
Für den Fall, dass der Computerwurm keine Dateien im persönlichen Ordner des Benutzers findet, nutzt er eine Kombination aus den Textzeilen: setup, card, docs, news, image, images, pics, resume, photo, video, music oder song data. Die Endungen sind entweder SCR, PIF oder EXE.
Eine SMTP Engine versendet die verschlüsselte Version dieses Computerwurms mit einer leeren eMail, die “application/x-msdownload” enthält.
Die andere SMTP Engine enthält "audio/x-midi" und erzeugt eine HTML-eMail, die die bekannte MIME-Sicherheitslücke ausnutzt.
Dies erlaubt der HTML-eMail eine automatische Ausführung, wenn die eMail geöffnet oder im Vorschaufenster angeschaut wird. Der User wird davon nicht informiert. Der nicht korrekte MIME Header ist bei IE 5.01 und 5.5 bekannt.
Bedrohung 2: Local Network Infection
Dieser Computerwurm verteilt sich über das Netzwerk durch gemeinsam genutzte Ordner. Er sucht ständig nach gemeinsam genutzten Netzwerk Ressource, die die genutzten Ordner enthalten. Wenn er einen findet, kopiert er sich selbst:
///%Startup%/.exe
Da er die Art der Ressource nicht überprüft, kann sich der Computerwurm beispielsweise auch in Drucker kopieren. Wenn dies geschieht kommt es zu einem Stau von Druckeraufträgen, die alle die gleiche Dateigröße wie der Computerwurm haben.
Bedrohung 3: Backdoor Server Komponente
Dieser Computerwurm verhält sich wie ein Backdoor Malware Server. Er öffnet Port 36794 und erlaubt Remote Usern sich über den offenen Port zu verbinden. Der Remote User kann dann jede der folgenden Aktionen am infizierten Rechner durchführen:
Downloaden und ausführen von Dateien
Kopieren und Löschen von Dateien
Laufende Prozesse auflisten
Laufende Prozesse beenden
Finden und Darstellen von Dateien
Einen HTTP-Server bilden
Informationen vom infizierten Rechner entfernen
Die weitergeleiteten Informationen können folgende sein:
Rechnername
Momentan eingelogter Benutzer
Prozessorart
Informationen über das Betriebssystem
verfügbarer Speicherplatz
Spezifikationen über Speichermedien -Festplatten, CDRom-Laufwerke - und Netzwerk Ressourcen
Auflistung von Netzwerk Ressourcen, auf die der User zugreifen kann - gemeinsam genutzte Ordner, Domains, Workstations, Drucker, etc.
Durch die Komplexität der Instruktionen, die der Backdoor Server braucht, kann es sein, dass es ein Client Programm gibt, um den Computerwurm zu manipulieren.
Jedes Mal wenn der Backdoor Server aktiv wird, normalerweise wenn auf Port 36794 angesprochen wird, werden die folgenden temporären Dateien im Windows Temorary Ordner abgelegt:
· ~PHGGUM.TMP
· ~EAYLNLF.TMP
Die abgelegte Datei, ~PHGGUM.TMP, enthält eine Zeile mit 20 Zeichen, die von diesem Backdoor Computerwurm als Session ID benutzt wird, um mit dem Client zu kommunizieren. Ein verbundener Nutzer kann keine Kommandos an diesen Computerwurm senden ohne diese ID.
Bedrohung 4: AntiVirus Retaliation
Dieser Computerwurm beendet folgende Prozesse, die hauptsächlich AntiVirus Applikationen sind:
_AVP32.EXE _AVPCC.EXE
_AVPM.EXE ACKWIN32.EXE
ANTI-TROJAN.EXE APVXDWIN.EXE
AUTODOWN.EXE AVCONSOL.EXE
AVE32.EXE AVGCTRL.EXE
AVKSERV.EXE AVNT.EXE
AVP.EXE AVP32.EXE
AVPCC.EXE AVPDOS32.EXE
AVPM.EXE AVPTC32.EXE
AVPUPD.EXE AVSCHED32.EXE
AVWIN95.EXE AVWUPD32.EXE
BLACKD.EXE BLACKICE.EXE
CFIADMIN.EXE CFIAUDIT.EXE
CFINET.EXE CFINET32.EXE
CLAW95.EXE CLAW95CF.EXE
CLEANER.EXE CLEANER3.EXE
DVP95.EXE DVP95_0.EXE
ECENGINE.EXE ESAFE.EXE
ESPWATCH.EXE F-AGNT95.EXE
FINDVIRU.EXE FPROT.EXE
F-PROT.EXE F-PROT95.EXE
FP-WIN.EXE FRW.EXE
F-STOPW.EXE IAMAPP.EXE
IAMSERV.EXE IBMASN.EXE
IBMAVSP.EXE ICLOAD95.EXE
ICLOADNT.EXE ICMON.EXE
ICSUPP95.EXE ICSUPPNT.EXE
IFACE.EXE IOMON98.EXE
JEDI.EXE LOCKDOWN2000.EXE
LOOKOUT.EXE LUALL.EXE
MOOLIVE.EXE MPFTRAY.EXE
N32SCANW.EXE NAVAPW32.EXE
NAVLU32.EXE NNT.EXE
NAVW32.EXE NAVWNT.EXE
NISUM.EXE NMAIN.EXE
NORMIST.EXE NUPGRADE.EXE
NVC95.EXE OUTPOST.EXE
PADMIN.EXE PAVCL.EXE
PAVSCHED.EXE PAVW.EXE
PCCWIN98.EXE PCFWALLICON.EXE
PERSFW.EXE RAV7.EXE
RAV7WIN.EXE RESCUE.EXE
SAFEWEB.EXE SCAN32.EXE
SCAN95.EXE SCANPM.EXE
SCRSCAN.EXE SERV95.EXE
SMC.EXE SPHINX.EXE
SWEEP95.EXE TBSCAN.EXE
TCA.EXE TDS2-98.EXE
TDS2-NT.EXE VET95.EXE
VETTRAY.EXE VSCAN40.EXE
VSECOMR.EXE VSHWIN32.EXE
VSSTAT.EXE WEBSCANX.EXE
WFINDV32.EXE ZONEALARM.EXE
Bedrohung 5: Password Stealer
Dieser Computerwurm ist normalerweise getriggert, wenn er zum ersten Mal auf dem betroffenen System ausgeführt wird. Er sammelt gecachte Passwörter, indem er APIs nutzt und sendet sie zu einem speziellen User. Der Body des Computerwurms enthält diese Information, zusammen mit dem Rechnernamen und dem momentan angemeldeten Benutzer.
Die Sender- und Empfängereinträge sind in diesem Fall die gleichen. Sie können einer der folgenden sein:
boxhill@teach.com
brdlhow@ml1.net
c.willoughby@myrealbox.com
erisillen@canada.com
gili_zbl@yahoo.com
jacopo58@excite.com
jwwatson@excite.com
langobaden@excite.com
mannchris@gala.net
mshaw@hispostbox.com
rvre2736@fairesuivre.com
rwilson@singmail.com
sc4579@excite.com
sctanner@myrealbox.com
sdsdfsf@callme.as
sergio52@mac.com
sm2001@mail.gerant.com
stevechurchis@excite.com
stickly@login.pe.kr
t435556@email.it
vique@aggies.org
zr376q@yahoo.com
Die Betreffzeile der eMail ist der Domainname, den der Computerwurm von der SMTP Default Adresse erhalten hat. Wenn die SMTP eMail-Adresse beispielsweise
test@nowhere.com ist, ist die Betreffzeile "nowhere".
Keylogger Komponente und andere abgelegte Dateien
Dieser Computerwurm legt drei .DLL und zwei .DAT Dateien im Windows System und Windows Ordner ab und benutzt zufällige Dateinamen. Eine der .DLL Dateien ist ein Keylogger Programm.
Diese Keylogger Komponente fängt die Tastatureingaben des infizierten Users ab und speichert sie verschlüsselt in einer .DLL Datei ab. Die Keylogger Komponente wird auch als WORM_BUGBEAR.A erkannt, während die anderen beiden .DLLs nicht schädlich sind. Die zwei .DAT Dateien sind nicht schädlich und verschlüsselt.