Neuer, fieser Windows-Wurm seit Montag im Umlauf

W32/Bugbear-A
Alias Tanat, Tanatos Typ Win32-Wurm
Erkennung
Eine Virenkennungsdatei (IDE) zum Schutz steht unter Virenkennungen zur Verfügung, und wird ab Version November 2002 (3.63) in Sophos Anti-Virus enthalten sein.

Sophos hat verschiedene Meldungen dieses Wurm als "in the wild" erhalten.

In Kürze erscheint hier eine genaue Analyse von W32/Bugbear-A. Bitte besuchen Sie diese Seite erneut zu einem späteren Zeitpunkt.


[Meine Überstzung aus dem englischen von
Bugbear ist ein Wurm, der sich über SMTP verbreitet und auch versucht, sich über Netzwerkfreigaben zu verbreiten.
Der Wurm kopiert sich selbst in das Windowsverzeichnis mit einem zufälligen Dateinamen, der aus vier Buchstaben mit einer EXE-Endung besteht.
Er erstellt folgenden Registryeintrag:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

Außerdem kopiert er sich selber in den Autostartordner, so dass er beim nächsten Windowsstart gestartet wird.
Der Wurm erzeugt eine zufällig benamste DLL-Datei, die dazu benutzt wird, Tastatureingaben mitzuschreiben.
Er kann verschiedene Antivirusprogramme und Firewalls außer Betrieb setzen.

Nachtrag:
Deutsche Beschreibung von Trendmicro:

WORM_BUGBEAR.A
Datum: 30.09.2002
Bekannt seit: 30.09.2002
Aliases: NATOSTA.A, WORM_NATOSTA.A
Virus Art: Computerwurm
In The Wild: Ja
Triggerbedingungen: Ausführung
Schadteil: versendet sich als eMail Attachment, beendet Prozesse
Pattern Datei: 355
Lösung verfügbar: 30.09.2002
Scan Engine: 5.200
Sprache: englisch
Plattform: Windows
Verschlüsselung: Nein
Größe: 50,664 Bytes

Bei der Ausführung plaziert der Wurm eine Kopie von sich mit zufällig erstelltem Dateinamen in das WIN Systemverzeichnis. Um die automatische Ausführung bei jedem Systemneustart zu ermöglichen, wird zudem eine weitere Kopie in das Startverzeichnis geschrieben (ebenfalls mit zufällig erstelltem Dateinamen).

Zur Verbreitung nutzt WORM_NATOSTA.A eine eigene SMTP-Engine. Die versendeten eMails haben keinen Textinhalt, folgende Betreffszeilen sind möglich:

hello!
update
hmm..
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Stats
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
fantastic
click on this!
Market Update Report
empty account
My eBay ads
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
$150 FREE Bonus!
Your News Alert
Get 8 FREE issues - no risk!
Greets!
Confirmation of Recipes…

Das normalerweise UPX_komprimierte Attachment heißt entweder: Setup.exe oder: 3 July 2002.doc.pif

Durch das Auslesen des WAB erhält WORM_NATOSTA.A die Empfängeraddressen.

Der Wurm nutzt eine bekannte Sicherheitslücke im IE 5.01 und 5.5: HTML formatierte eMails werden automatisch durch MS Outlook oder MS Outlook-Express ausgeführt, so dass sich der Wurm auf dem Zielsystem installieren kann ohne dass das Attachment aktiv geöffnet werden muss!

WORM_NATOSTA.A beendet folgende Prozesse auf dem Zielsystem (meist assoziiert mit AV-Applikationen

ONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE

Zum Vergrößern anklicken....

Er kann also praktisch alle namhaften Antivirusprogramm ausschalten und sich damit unbemerkt breitmachen.
Die keylogger-Eigenschaft wird höchstwahrscheinlich dazu benutzt, die Eingabe von Passwörtern über die Tastatur aufzuzeichnen und an den Virenautor zu senden - natürlich per eigener SMTP-engine, so dass man das nicht mitbekommt. Allerdings wird die keylogger-engine bislang nur von Sophos, nicht aber von Trendmicro betsätigt.

Abhilfe:
Keine angehängten Dateien ausführen, die man per eMail bekommt.
Bei Verwendung von MS Internet Explorer 5.01 oder 5.5 in Verbindung mit MS Outlook ist es nicht nötig, den infizierten Dateianhang manuell zu starten, da Windows das "netterweise" automatisch macht.
(außer man hat das Security-Update von MS installiert.)
- Antivirusprogramm updaten, sobald das Update verfügbar ist (voraussichtlich Dienstag abend oder Mittwoch)
- kein Outlook in Verbindung mit IE verwenden oder Security-Update installieren
- Die unsinige Windows-Default-Einstellung "Dateinamenerweiterung bei bekannten Dateitypen ausblenden" AUSSCHALTEN! -> d.h. Erweiterungen sollen angezeigt werden. Dadurch wird der Dateiname "3 July 2002.doc.pif" richtig angezeigt, anderenfalls wird nur "3 July 2002.doc" angezeigt, was dazu führt, dass die Datei wie ein Word-Dokument aussieht, obwohl sie tatsächlich ein Programm ist.
Anleitung z.B. hier:

Betroffen sind natürlich wieder nur PCs, auf denen Windows läuft. OS/2- und Linux-Benutzer haben nichts zu befürchten.

<small>[ 01. Oktober 2002, 09:05: Beitrag editiert von: Andreas ]</small>

Danke Andreas!

Nachdem ich den Bericht hier heute morgen gelesen habe, habe ich mein Antivir upgedatet - und prompt habe ich heute abend einen Wurm bekommen.

Wie Du geschrieben hast, habe ich die Mail aufgemacht und schwups - änderte sich die Oberfläche zu DOS und ich hatte die Warnung drauf. Es war allerdings irgendein Wurm mit T.

Als ich den Virus löschen wollte, ist mir allerdings der PC abgestürzt Nach dem Neustart habe ich dann die Mail gelöscht - bin ich jetzt sicher?

Gruß

Hallo Marion!
- zum einen ist es möglich, dass AntiVir (trotz Update) den nagelneuen Wurm noch nicht richtig erkannt hat. Selbst die kostenpflichtigen, namhaften Hersteller wie Sophos brauchen einige Stunden, um den Wurm zu analysieren und eine Bekämpfungsmaßnahme fertigzustellen. Schau in zwei bis drei Tagen noch mal nach einem Update, evtl. brauchen manche Hersteller etwas länger dafür.
Möglicherweise wurde der Wurm nicht korrekt erkannt, wohl aber erkannt, dass es ein Schadprogramm ist. In solchen Fällen wird der Übeltäter entweder als "Generic" angezeigt oder evtl. als "Variante von ..." - wobei in deinem Fall eventuell "..." mit "T" anfängt.

- zum anderen ("bin ich sicher?"
Schau mal nach, was dein Windows alles automatisch startet:
1) Autostart-Ordner
2)
Start | ausführen | regedit [Enter]
-HKEY_Local_Machine
--Software
---Microsoft
----Windows
-----Current Version
------Run und
------RunServices

Dort schau nach, ob alle Einträge zu Programme führen, die du willentlich installiert hast. Sollte ein Objekt dort gestartet werden, das völlig unerklärlich ist und dazu noch einen "ausgewürfelten" Namen wie z.B. kdfj.exe oder qlxr.exe trägt, dann ist dieses Objekt stark verdächtig.

Normal sind dort z.B. Einträge wie
- scanregw.exe
- SysTray.exe
- taskmon.exe
- Rundll32.exe powrprof.dll,LoadCurrentPwr....
- mstask.exe

Auch die meisten Antivirusprogramme starten sich hier.

Sollte dir was komisch vorkommen, such die angegebene Datei per "Suche"-Funktion und schau sie dir genauer an. Beispielsweise ist die Datei mstask.exe 116 kB groß und hat ein Datum vom 5.5.1999.
(Diese Angabe trifft zu für Windows 98 Zweiter Versuch - bei einer anderen Windowsversion hat sie evtl. andere Größe)

Das paßt also nicht zu einem Wurm von 2002, der laut Beschreibung 50.688 Bytes groß sein soll. Dann kannst du dir per Rechtsklick auf die Datei noch die Version anzeigen lassen, da steht dann z.B. Taskplaner-Engine und Hersteller Microsoft, usw. Das könnte natürlich alles gefälscht sein, aber diese Mühe machen sich die meisten Virenprogrammierer nicht. Als letzte Maßnahme läßt du gezielt zwei verschiedene, aktuelle Virenscanner diese Datei prüfen; dabei die "heuristische Suche" einschalten. Einmal Antivir und als zweites z.B. F-Prot. Damit hast du noch immer keine 100%ige Sicherheit, die hast du nie, solange du am Internet hängst, aber du hast das mögliche getan.

- Als letzte Maßnahme solltest du testen, ob dein Antivirusprogramm noch funktionsfähig ist. Der Wurm kann ja praktisch alle AV-Programme ausschalten. Für den Test nimmst du eine harmlose Testdatei, die dazu gedacht ist, einen Probealarm auszulösen. Wenn dieser Probealarm erscheint, dann läuft dein AV noch. Diese Probedatei heißt "EICAR-STANDARD-ANTIVIRUS-TEST-FILE" und du kriegst diese Datei sicherlich an verschiedenen Stellen im Internet, ich schau mal gerade...
Hier ist der Original-Hersteller:


Wenn ich versuche, die Datei eicar.com downzuladen, geht sofort mein Antivirusprogramm auf und meckert rum und der Download wird verweigert. So sollte das auch sein. (Obwohl mein Betriebssystem dagegen sowieso immun wäre...)

<small>[ 01. Oktober 2002, 23:31: Beitrag editiert von: Andreas ]</small>

Danke Andreas!

Also die Testviren hat mein Programm alle gefunden *freu*

Als ich allerdings meine registry anschauen wollte, bin ich gescheitert - ich habe beim "runterklicken" unter "Microsoft" keine "Current Version"? Kommt da vielleicht noch was zwischen?

Trotzdem bin ich erst mal froh, daß mein AntiVir noch läuft

Hallo Marion,

ich habe beim "runterklicken" unter "Microsoft" keine "Current Version"? Kommt da vielleicht noch was zwischen?

Zum Vergrößern anklicken....

ja, da kommt noch "was dazwischen": "Windows"
(NICHT "WindowsNT" nehmen).
Ich hab mal eine Anleitung mit Bild davon gemacht, wie das aussehen muß:


Übrigens meldet Heise heute, dass sich Bugbear rasant ausbreitet, so habe ich das Anfang der Woche auch befürchtet

"Schreckgespenst" weiter auf dem Vormarsch

Der offenbar aus Malaysia stammende Computer-Wurm "Bugbear" (Schreckgespenst) verbreitet sich weltweit mit großer Geschwindigkeit. Erste Meldungen zum Schädling hatte es am Montag gegeben. Berichten verschiedener Medien zu Folge soll er sich besonders schnell auf Rechnern in England verbreiten, gefolgt von Australien und Neuseeland. Aber auch in den USA, ganz Westeuropa, Indien und Brasilien steige die Zahl der befallenen Computer. Laut Antiviren-Softwarehersteller McAfee sind in den USA 4,3 Prozent, in Europa bereits 14 Prozent und in Australien über ein Viertel aller gescannten Rechner von "Bugbear" befallen.

Der Schädling wird von Experten als besonders gefährlich eingestuft, weil er vertrauliche Daten wie Passwörter oder Kreditkarten-Nummern auszuspähen versucht. Zu seiner Verbreitung nutzt der Wurm eine seit längerem bekannte Sicherheitslücke in Microsofts EMail-Programmen Outlook und Outlook Express.

Zum Vergrößern anklicken....

andreas woher hast du dieses wissen??
veilchen

Danke Andreas

Beim Virencheck wurde mir dann aber gemeldet, daß meine Antivir-Exe durch den Wurm "Tarnatos" zerstört sei (komischerweise lief das Programm trotzdem??) Na ja, ich hab die dann gelöscht, Antivir deinstalliert und neu runtergeladen. Das neue Antivir hat dann nix mehr gefunden

Knuddler an Sheila