IGF - Seiten
"Blaster"-Variante: "MSLAUGH.exe"
Seit einiger Zeit ist ein Wurm aufgefallen, der sich unauffällig Zugang zu jedem ungeschützten PC verschafft. Es wurde festgestellt, dass bereits eine Minute ungeschützt im Internet genügt, um sich den Virus einzufangen. Eine Firewall blockt diesen Parasiten jedoch erfolgreich ab !
Der Wurm verrichtet seine "Arbeit" unbemerkt im Hintergrund. Es handelt sich hierbei um eine neue Variante des Lovsan-Wurms - Lovsan.E und wurde erstmals am 29. August 2003 entdeckt.
Diese Variante ist funktionell mit Lovsab.A identisch, jedoch mit einigen wenigen Unterschieden:
Er benutzt den Namen mslaugh.exe, statt MSBLAST.EXE ! Der Registry-Eintrag wurde geändert in 'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Automation'. Er benutzt den MUTEX Namen 'SILLY'. Das DDoS Ziel wurde geändert in 'kimble.org' und zeigt auch auf 127.0.0.1, dadurch wird der infizierte Rechner selbst angegriffen. Er hat eine andere verborgene Nachricht: 'I dedicate this particular strain to me ANG3L - hope yer enj oying yerself and dont forget the promise for me B/DAY !!!!
Der Wurm nistet sich im System32-Ordner ein und trotzt den herkömmlichen Löschversuchen. Starten Sie Windows im abgesicherten Modus und löschen Sie die Datei. Anschließend können Sie Ad-aware (in unserem Download-Bereich) benutzen, um die Registry-Einträge zu entfernen. Installieren Sie vor der nächsten Internet-Einwahl unbedingt eine Firewall, da Sie sonst den Wurm umgehend wieder auf Ihrem System haben !
Wurm "Blaster" - auch "Lovsan" genannt
Erst in der Nacht von Montag (11.08.03) auf Dienstag (12.08.03) entdeckt, verbreitete sich der Wurm nun lawinenartig im Web aus und infiziert ungesicherte Rechner. Betroffen sind ausschließlich Nutzer der Versionen WinNT 4.0, Win2000 und WinXP.
Einmal gestartet ist der Blaster-Wurm daran zu erkennen, dass er immer wieder ein System-Fenster erzwingt und den Computer zum Absturz bringt. Allerdings ist das nicht das primäre Ziel des Schädlings, sondern ein Nebeneffekt, hervorgerufen durch eine fehlerhafte Programmierung des RPC-Dienstes von Windows.
Erkennbar ist ein Befall auch an der Wurm-Datei "msblast.exe", die im Windows-System32-Ordner abgelegt wird.
Weiterhin öffnet Blaster verschiedene TCP-Ports zum "Lauschen". Über solche Türen kommunizieren Computer-Programme mit dem Internet und lokalen Netzwerken. Im vorliegenden Fall "versendet" sich der Wurm über die geöffneten Schnittstellen. Betroffen sind davon laut Anti-Viren-Hersteller McAfee vor allem die Port-Nummern 2500-2520, 2501-2521 und 2502-2522.
Wir bieten Ihnen hier ein Sicherheitspaket an, welches den Wurm erfolgreich bekämpft !
Unser Sicherheitspaket beinhaltet folgendes :
1. Original-Patch von Microsoft, um die Sicherheitslücke zu schließen
2. Programm zum Entfernen des Wurmes, falls Ihr PC schon befallen ist
3. Programm zum kontrollieren der offenen Ports
4. Tool zum Überprüfen der Festplatte
Xupiter
Die Methoden, mit denen Werbetreibende ahnungslose und unwillige Internet-Surfer auf ihre Webseiten lotsen und von ihren Produkten überzeugen wollen, werden immer dreister. Die hartnäckigste Entwicklung ist derzeit ein Add-on für den Internet-Explorer namens Xupiter, das sich im Browser als Toolbar präsentiert. An welchen Ecken Xupiter im Internet auf seine Opfer lauert, scheint noch etwas unklar. So berichten manche User, dass sie sich das Programm beim normalen Surfen (u.a. auf den Websites des Begleitservices FortuneCity.com) eingefangen haben, andere hingegen sind der Meinung, sich Xupiter als "Bundle" mit dem Dateitauschprogramm Grokster auf ihren PC geholt zu haben.
Xupiter nistet sich dabei nicht etwa als Virus im PC ein, sondern macht sich zu Nutze, das die meisten Internet-Surfer ihre Sicherheits-Einstellungen auf niedrig eingestellt haben, um möglichst alle Spielereien im Internet auch anzeigen und nutzen zu können, so dass sich das Add-on als sogenanntes "drive-by download" unbemerkt und ungefragt herunterlädt und selbständig auf dem PC installiert. Erst beim nächsten Starten des Browsers merkt der Surfer die Parasitensoftware. So überschreibt Xupiter die Startseite des Surfers mit der Xupiter-Homepage, lenkt Suchanfragen auf die Xupiter-Suchmaschine um, öffnet Pop-ups auf dem Bildschirm oder lädt ungefragt Spiele herunter und trägt eigenwillig ausgewählte Buchstaben und Zeichen in Suchanfragen oder Formulare ein.
Ob das Programm auch persönliche Daten vom PC des Surfers ausspäht und weiterleitet, ist noch unklar. Zweck der ganzen Sache ist allein, möglichst viele der täglich zigmillionen Suchanfragen auf die Xupiter-Homepage zu lenken, in der dann hauptsächlich jene Kunden als Suchergebnis angezeigt werden, die dafür auch bezahlen.
Die Mehrzahl der technisch unbedarften Internetnutzer steht den neuen Voreinstellungen und Downloads hilflos gegenüber, denn weder ein Überschreiben der Browser-Optionen noch eine De-Installation von Xupiter ist ohne weiteres möglich. Normalerweise hilft in einem solchen Fall zumindest die Bearbeitung der System-Registry. Aber auch spezielle Programme wie die etablierten Ad-Aware und SpyBot spüren Software dieser Art auf und entfernen sie aus dem System. Xupiter entzieht sich jedoch erfolgreich jedem Versuch des Löschens. Gelöschte Programmteile werden beim nächsten Gang ins Internet automatisch wieder von der Xupiter-Homepage nachgeladen. Zwar bietet Xupiter, versteckt auf seiner Homepage, eine De-Installations-Routine an, doch die arbeitet nur bei wenigen PCs anstandslos. Die meisten User haben danach immer noch bzw. noch schlimmere Probleme mit ihrem System.
Auch das Entfernen von Xupiter.com als Startseite des Browsers wird im FAQ-Bereich als einfach beschrieben, doch dies gilt nur für den Fall, dass der Surfer auf der Xupiter-Seite selbst auf den Button klickt, der dann Xupiter.com als Startseite in den Browser einträgt, ohne jedoch das Add-on zu installieren. Überraschenderweise ist auf der Xupiter-Website von dem Add-on überhaupt nichts zu sehen, trotzdem heißt es in den Benutzungsbedingungen, dass der Kunde sich bei der Nutzung des Programms darüber bewusst ist, dass es mit einem automatischen Update-Mechanismus ausgestattet wurde, um stets die aktuellste Version dem Anwender bereitstellen zu können. Darauf wird zumindest per Link auch von jenen Webseiten verwiesen, die den Anwender über ein Systemfenster fragen, ob er das Xupiter-Programm downloaden und installieren will. Was ihn nach dem Download erwartet, darüber wird er nicht aufgeklärt.
Xupiter gehört der im ungarischen Gyongyos gelegenen Firma Tempo Internet. Inzwischen haben sich im Internet zahlreiche Websites dem Problem De-Installation von Xupiter angenommen. "Als uns Xupiter das erste Mal begegnete, haben wir eine ganze Woche gebraucht, um das Programm zu analysieren", erklärt Mike Healan von SpywareInfo. Erst nach 26.000 Zugriffen auf Webpages wussten die Sicherheitsexperten, wie die Software funktioniert und was sie alles anrichtet. Wichtigstes Indiz, dass es sich dabei um eine böswillige Sache handelt :
"Sobald etwas genaueres bekannt wird, wie das Programm arbeitet, wird der Code von den Xupiter-Programmierern sofort geändert und beim nächsten Nachladen upgedated."
Auch geht SpywareInfo davon aus, dass Xupiter nicht nur Anfragen auf seine Seite umleitet, sondern diesen "Service" auch anderen Firmen anbietet. "Ein oder zwei Mal im Monat werden die Opfer auf eine neue Seite entführt", weiß Healan, "und jede neue Update-Version von Xupiter geht ganz andere Wege und hat einen anderen Programmcode, um seine Funktionen auszuführen".
Xupiter ist nicht der erste Versuch, Surfer gewaltsam auf bestimmte Seiten zu dirigieren. Dem gleichen Programmierer wird die ebenso schon recht hartnäckige Vorgängerversion Browserwise.com zugeschrieben. Schon seit längerem ist lop.com von der Firma C2 Media bekannt, das sich auf dem Rechner als MP3- oder Erotik-Suchsoftware tarnt und als AktiveX-Element auf diversen MP3- und Pornoseiten automatisch heruntergeladen wird. Das Programm hakt sich ebenso bei jedem Systemstart in den Browser ein und lenkt bei jeder falsch eingegebenen Adresse, bei einer Suchanfrage oder beim öffnen eines neuen Fensters auf die lop.com-Homepage um, ändert die voreingestellte Startseite und Suchmaschine und auch die Bookmarks des Browsers. Allerdings lässt sich lop.com mit Ad-Aware und Spybot recht gut aus dem System entfernen. Da auch die Homepages von lop.com und Xupiter sehr ähnlich sind, gehen manche Experten davon aus, dass die gleichen Programmierer Urheber der Software sind.
Worm/Cydog.C - Alias: W32/Kickin@MM, W32Kickin.A@mm
Dateigröße: 109.056 Bytes (UPX gepackt) : Bei Worm/Cydog.C handelt es sich um einen Massenmailer. Die Emailadressen, an die sich der Wurm versendet, sammelt er aus dem Yahoo Messenger, MSN und .NET Messenger, ICQ, Windows Adress Buch (WAB) sowie aus .EML und .HTML Dateien.
Worm/Cydog.C ist außerdem in der Lage, seine virulenten Dateien über bekannte Peer-To-Peer (P2P) Netzwerke wie Kazaa, Edonkey, Bearshare und Morpheus zum Download anzubieten.
Wird der Worm/Cydog.C ausgeführt, kopiert er sich dieser in das Windows Verzeichnis mit dem Dateinamen CYBERWOLF.EXE. Diese Datei ist mit den Attributen 'Versteckt' und 'Systemdatei' deklariert.
Danach kopiert sich der Wurm mit den selben gesetzten Dateiattributen in das Windows Systemverzeichnis mit den folgenden Dateinamen ...
Kernel32.exe, mapi32.drv, format.com, SARS-Guide.scr, MsnMsgs.exe, Setup.exe, Virtual Joke.scr, Saddam-the real pics.scr, Christina Aguilera-The most beautiful girl on earth.scr, Soccer Database.exe, OutWar Demo.exe, Love.scr, Last Summer.scr, Hotmail Hacker.exe, FixSql.com, Q30215HOTFIX.pif, Api Hooking-Tutorial.exe, Magical-Screensaver.scr
Worm/Cydog.C modifiziert in der Windows Registry den Eintrag zum Ausführen von .EXE Dateien. Wird eine Anwendung, die die Dateierweitung EXE besitzt, geöffnet, so wird der Wurm ebenfalls ausgeführt ...
[HKEY_CLASSES_ROOT\exefile\shell\open\command]@="%SystemDIR%\Kernel32.exe"%1\" %*""
Der Wurm fügt folgende Einträge der Windows Registry hinzu ...
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Cyberwolf"="%WindowsDIR%\CyberWolf.exe"
"Windows Kernel"="%SystemDIR%\Kernel32.exe"
Worm/Cydog.C modifiziert weitere Registry Einträge. Diese Modifikationen führen dazu, dass bekannte Dateierweiterungen unter Windows nicht mehr sichtbar sind und versteckte Systemdateien nicht mehr anzeigt werden.
Sollte der Anwender keinen SMTP Server für den Email-Versand angegeben haben, führt Worm/Cydog.C eine Liste eigener SMTP Server mit, über die er infizierte E-Mails versenden kann.
Eine versandte E-Mail kann recht unterschiedliche Erscheinungsbilder besitzen. Der Wurm versendet sich ausschließlich mit gefakten Email-Adressen ...
Lovegirl@yahoo.com, Webmaster@planet-source-code.com, Lovegirl33@hotmail.com, Admin@screensaver.com, Support@microsoft.com, SecurityResponse@symantec.com, Admin@hackers.com, Webmaster@Loveforlife.com, Webmaster@outwar.com, Soccerfan@yahoo.com, Webmaster@beautifulgirls.com, Webmaster@sreensavers.com, flipbabe@hotmail.com, mailinglist@msn.com, oder nice_girl21@hotmail.com
