Aktuelle Viren Teil 2

[hisch]

GEFÄHRLICHE POST

Wurm wünscht "fröhliche Weihnachten"

Ein neuer Wurm verbreitet sich derzeit massenhaft per E-Mail. Der Schädling mit dem Namen Zafi-D gibt sich als weihnachtliche Grußkarte aus. Wer den infizierten Anhang ausführt, öffnet seinen Rechner für mögliche Hackerangriffe.
Virenspezialisten warnen vor einem neuen Wurm namens Zafi-D, der im Gewand einer Weihnachtskarte zur Zeit Postfächer weltweit flutet. Zafi-D gibt sich international, die Mails sind auf Deutsch, Englisch, Französisch, Spanisch und Ungarisch verfasst. In den Betreffzeilen stehen folgende Wörter: "Re: Weihnachten Card", "FW: Merry Christmas", "Happy HollyDays" oder "Feliz Navidad". In die E-Mail ist eine animierte Grafik eingebaut, die zwei Smiley-Gesicher zeigt.

Wer den Anhang der E-Mail ausführt, erhält die Fehlermeldung "CRC: 04F6Bh Error in packed file!", berichtete der Antivirensoftware-Hersteller Sophos. Damit versuche der Wurm, sich zu tarnen und dem Betroffenen vorzugaukeln, sein Rechner habe lediglich ein Programm nicht fehlerfrei starten können. In Wirklichkeit sei damit der Computer mit dem Virenprogramm infiziert.

Zafi-D befällt wie fast alle Viren und Würmer ausschließlich Windowssysteme und verfügt über eine eigene SMTP-Engine zum Verschicken infizierter Mails. Die nötigen E-Mail-Adressen sammelt sich der Schädling auf dem befallenen PC zusammen. Der Wurm verbreitet sich zusätzlich über P2P-Netze.
Zafi-D ist nach Angaben des deutschen Sicherheitsspezialisten H+BEDV in der Lage, aktive Anwendungen, die die Zeichenfolge "Virus" oder "Firewall" enthalten zu beenden. Laufende Antivirenprogramme oder Firewalls würden so ausgeschaltet. Wenn der Wurm aktiv sei, könne außerdem der Taskmanager, der Registry Editor und die Anwendung Msconfig vom Anwender nicht aufgerufen werden. Daneben enthalte Zafi-D eine Backdoor-Komponente, welche auf eingehende Kommandos am Port 8181 wartet. Ein infizierter PC stehe damit Hackern offen, um darauf beliebige Programme auszuführen.

"Ein befallenes System lässt sich relativ leicht säubern", sagte Sophos-Sprecher Christoph Hardy, "da der Wurm keine Einträge in der Registry vornimmt". Die übliche Vorgehensweise zur Entfernung von Würmern gelte auch für Zafi-D. Genaue Hinweise geben die Antivirenspezialisten auf ihren Webseiten, etwa Sophos und McAfee.



quelle spiegel online

[hisch]

Variante Santy.A
Santy.A wurde in der Perl Skriptsprache geschrieben. Er nutzt Google, um auf zufällige Weise weitere Hosts zu finden. Die Suche enthält den String "viewtopic.php". Google hat begonnen, derartige Suchanfragen zu filtern.

Ist es dem Wurm möglich, diese Sicherheitslücke auf einem System auszunutzen, wird er versuchen, sich in 20 Byte großen Stücken auf den Rechner zu transferieren. Geht dabei einer dieser Teile verloren, entsteht auf dem Zielsystem eine beschädigte Kopie des Wurm, die dann nicht mehr funktionsfähig sein kann.

Santy.A schreibt sich auf dem Opfer-System in eine Datei mit dem Namen

m1ho2of

und nutzt die Sicherheitslücke erneut aus, um den übertragenen Wurm auf dem nun infizierten Rechner mit dem dort vorhandenen Perl-Interpreter auszuführen.

Der Wurm enthält einen Generations-Zähler, der bei jeder neuen Infektion hochgezählt wird. Wird dieser Wert größer als drei, führt er seine Schadfunktion aus: Der Wurm überschreibt alle Dateien, die die Extension .htm .php .asp .shtm .jsp oder .phtm haben.

Der Inhalt der Dateien wird ersetzt mit diesem Text:

This site is defaced!!!
NeverEverNoSanity WebWorm generation X
wobei X ein Zähler ist, der mit jeder Infektion hoch gezählt wird.

[hisch]

anhang zum obrigen artikel
Neuer Wurm geht auf Webforen los
Bereits mehr als 40.000 Webseiten verunstaltet - Neue Variante nach Austricksen der alten
Seit einigen Tagen macht ein neuer Wurm das Internet unsicher: Santy hat sich auf Webforen spezialisiert, konkret auf Systeme die auf der beliebten Software phpBB beruhen. Diese weist in einigen Versionen eine schwere Sicherheitslücke auf, die sich der Schädling zunutze macht.
Blockade

Um diesem Treiben ein Ende zu setzen, ist der Suchmaschinenbetreiber Google dazu übergegangen, die Anfragen von Sanity zu blockieren. Dies reichte allerdings nur für eine kurze Verschnaufpause: Nun ist eine neue Variante von Sanity aufgetaucht, die die Suche von Yahoo benutzt, um verwundbare Server aufzuspüren.

Aufbau

Da von Santy auch der Quelltext verfügbar ist, und der Wurm recht simpel aufgebaut ist, ist davon auszugehen, dass noch weitere Variationen auftauchen werden. Insofern ist allen BetreiberInnen von phpBB-basierten Boards dringend anzuraten, auf die seit einigen Wochen verfügbare Version 2.0.11 der Software umzusteigen, die die entsprechende Sicherheitslücke nicht mehr aufweist.
info der standart

[hisch]

Variante Kipis.B
Die Variante Kipis.B wurde das erste Mal am 24. Dezember 2004 gefunden. Er ähnelt der Variante A, weist aber einige Unterschiede auf:

Der Mutex der Variante Kipis.B heißt:

KiPiSx018-AxSE-DDSxKAV

Kipis.B versendet E-Mails mit folgenden Subjects:

Ass
Happy New Year
Hello

und etwas abweichenden Body-Texten:

Hello! baby :-)
Kiss me Ass...

Attachment:

I disagree.scr
myfoto_04.scr
your present.scr
your screen_03.scr

Im Unterschied zur ersten Variante führt Kipis.B an den ersten 14 Tagen des Monats einen DoS- (Denial of Service) Angriff auf diese Seite aus:

Nur registrierte Benutzer können in diesem Forum Links sehen!
Registriere dich oder logge dich ein!

[hisch]

Google-Suche mit bösem Ende
Behoben scheint indessen die Gefahr durch trojanerverseuchte Anzeigen bei Google. Wer in den vergangen Tagen bei Google nach "Preisvergleich" oder "Gebraucht PC" suchte und auf eine Werbeanzeige klickte, wurde auf eine Seite weitergeleitet, auf der sich ein Trojaner installierte. Auch dieser Angriff wurde erst durch Sicherheitslücken des Internet Explorer möglich.
quelle spiegel