W32/Bugbear-A
Alias Tanat, Tanatos Typ Win32-Wurm
Erkennung
Eine Virenkennungsdatei (IDE) zum Schutz steht unter Virenkennungen zur Verfügung, und wird ab Version November 2002 (3.63) in Sophos Anti-Virus enthalten sein.
Sophos hat verschiedene Meldungen dieses Wurm als "in the wild" erhalten.
In Kürze erscheint hier eine genaue Analyse von W32/Bugbear-A. Bitte besuchen Sie diese Seite erneut zu einem späteren Zeitpunkt.
[Meine Überstzung aus dem englischen von
Bugbear ist ein Wurm, der sich über SMTP verbreitet und auch versucht, sich über Netzwerkfreigaben zu verbreiten.
Der Wurm kopiert sich selbst in das Windowsverzeichnis mit einem zufälligen Dateinamen, der aus vier Buchstaben mit einer EXE-Endung besteht.
Er erstellt folgenden Registryeintrag:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Außerdem kopiert er sich selber in den Autostartordner, so dass er beim nächsten Windowsstart gestartet wird.
Der Wurm erzeugt eine zufällig benamste DLL-Datei, die dazu benutzt wird, Tastatureingaben mitzuschreiben.
Er kann verschiedene Antivirusprogramme und Firewalls außer Betrieb setzen.
Nachtrag:
Deutsche Beschreibung von Trendmicro:
Die keylogger-Eigenschaft wird höchstwahrscheinlich dazu benutzt, die Eingabe von Passwörtern über die Tastatur aufzuzeichnen und an den Virenautor zu senden - natürlich per eigener SMTP-engine, so dass man das nicht mitbekommt. Allerdings wird die keylogger-engine bislang nur von Sophos, nicht aber von Trendmicro betsätigt.
Abhilfe:
Keine angehängten Dateien ausführen, die man per eMail bekommt.
Bei Verwendung von MS Internet Explorer 5.01 oder 5.5 in Verbindung mit MS Outlook ist es nicht nötig, den infizierten Dateianhang manuell zu starten, da Windows das "netterweise" automatisch macht.
(außer man hat das Security-Update von MS installiert.)
- Antivirusprogramm updaten, sobald das Update verfügbar ist (voraussichtlich Dienstag abend oder Mittwoch)
- kein Outlook in Verbindung mit IE verwenden oder Security-Update installieren
- Die unsinige Windows-Default-Einstellung "Dateinamenerweiterung bei bekannten Dateitypen ausblenden" AUSSCHALTEN! -> d.h. Erweiterungen sollen angezeigt werden. Dadurch wird der Dateiname "3 July 2002.doc.pif" richtig angezeigt, anderenfalls wird nur "3 July 2002.doc" angezeigt, was dazu führt, dass die Datei wie ein Word-Dokument aussieht, obwohl sie tatsächlich ein Programm ist.
Anleitung z.B. hier:
Betroffen sind natürlich wieder nur PCs, auf denen Windows läuft. OS/2- und Linux-Benutzer haben nichts zu befürchten.
<small>[ 01. Oktober 2002, 09:05: Beitrag editiert von: Andreas ]</small>
Alias Tanat, Tanatos Typ Win32-Wurm
Erkennung
Eine Virenkennungsdatei (IDE) zum Schutz steht unter Virenkennungen zur Verfügung, und wird ab Version November 2002 (3.63) in Sophos Anti-Virus enthalten sein.
Sophos hat verschiedene Meldungen dieses Wurm als "in the wild" erhalten.
In Kürze erscheint hier eine genaue Analyse von W32/Bugbear-A. Bitte besuchen Sie diese Seite erneut zu einem späteren Zeitpunkt.
[Meine Überstzung aus dem englischen von
Bugbear ist ein Wurm, der sich über SMTP verbreitet und auch versucht, sich über Netzwerkfreigaben zu verbreiten.
Der Wurm kopiert sich selbst in das Windowsverzeichnis mit einem zufälligen Dateinamen, der aus vier Buchstaben mit einer EXE-Endung besteht.
Er erstellt folgenden Registryeintrag:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Außerdem kopiert er sich selber in den Autostartordner, so dass er beim nächsten Windowsstart gestartet wird.
Der Wurm erzeugt eine zufällig benamste DLL-Datei, die dazu benutzt wird, Tastatureingaben mitzuschreiben.
Er kann verschiedene Antivirusprogramme und Firewalls außer Betrieb setzen.
Nachtrag:
Deutsche Beschreibung von Trendmicro:
Er kann also praktisch alle namhaften Antivirusprogramm ausschalten und sich damit unbemerkt breitmachen.WORM_BUGBEAR.A
Datum: 30.09.2002
Bekannt seit: 30.09.2002
Aliases: NATOSTA.A, WORM_NATOSTA.A
Virus Art: Computerwurm
In The Wild: Ja
Triggerbedingungen: Ausführung
Schadteil: versendet sich als eMail Attachment, beendet Prozesse
Pattern Datei: 355
Lösung verfügbar: 30.09.2002
Scan Engine: 5.200
Sprache: englisch
Plattform: Windows
Verschlüsselung: Nein
Größe: 50,664 Bytes
Bei der Ausführung plaziert der Wurm eine Kopie von sich mit zufällig erstelltem Dateinamen in das WIN Systemverzeichnis. Um die automatische Ausführung bei jedem Systemneustart zu ermöglichen, wird zudem eine weitere Kopie in das Startverzeichnis geschrieben (ebenfalls mit zufällig erstelltem Dateinamen).
Zur Verbreitung nutzt WORM_NATOSTA.A eine eigene SMTP-Engine. Die versendeten eMails haben keinen Textinhalt, folgende Betreffszeilen sind möglich:
hello!
update
hmm..
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Stats
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
fantastic
click on this!
Market Update Report
empty account
My eBay ads
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
$150 FREE Bonus!
Your News Alert
Get 8 FREE issues - no risk!
Greets!
Confirmation of Recipes…
Das normalerweise UPX_komprimierte Attachment heißt entweder: Setup.exe oder: 3 July 2002.doc.pif
Durch das Auslesen des WAB erhält WORM_NATOSTA.A die Empfängeraddressen.
Der Wurm nutzt eine bekannte Sicherheitslücke im IE 5.01 und 5.5: HTML formatierte eMails werden automatisch durch MS Outlook oder MS Outlook-Express ausgeführt, so dass sich der Wurm auf dem Zielsystem installieren kann ohne dass das Attachment aktiv geöffnet werden muss!
WORM_NATOSTA.A beendet folgende Prozesse auf dem Zielsystem (meist assoziiert mit AV-Applikationen
ONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
Die keylogger-Eigenschaft wird höchstwahrscheinlich dazu benutzt, die Eingabe von Passwörtern über die Tastatur aufzuzeichnen und an den Virenautor zu senden - natürlich per eigener SMTP-engine, so dass man das nicht mitbekommt. Allerdings wird die keylogger-engine bislang nur von Sophos, nicht aber von Trendmicro betsätigt.
Abhilfe:
Keine angehängten Dateien ausführen, die man per eMail bekommt.
Bei Verwendung von MS Internet Explorer 5.01 oder 5.5 in Verbindung mit MS Outlook ist es nicht nötig, den infizierten Dateianhang manuell zu starten, da Windows das "netterweise" automatisch macht.
(außer man hat das Security-Update von MS installiert.)
- Antivirusprogramm updaten, sobald das Update verfügbar ist (voraussichtlich Dienstag abend oder Mittwoch)
- kein Outlook in Verbindung mit IE verwenden oder Security-Update installieren
- Die unsinige Windows-Default-Einstellung "Dateinamenerweiterung bei bekannten Dateitypen ausblenden" AUSSCHALTEN! -> d.h. Erweiterungen sollen angezeigt werden. Dadurch wird der Dateiname "3 July 2002.doc.pif" richtig angezeigt, anderenfalls wird nur "3 July 2002.doc" angezeigt, was dazu führt, dass die Datei wie ein Word-Dokument aussieht, obwohl sie tatsächlich ein Programm ist.
Anleitung z.B. hier:
Betroffen sind natürlich wieder nur PCs, auf denen Windows läuft. OS/2- und Linux-Benutzer haben nichts zu befürchten.
<small>[ 01. Oktober 2002, 09:05: Beitrag editiert von: Andreas ]</small>