Aktuelle Viren Teil 2

[hisch]

Video-Dateien mit Trojanern verseucht


Die Sicherheitsspezialisten von Panda Software warnen vor zwei Trojanern, die sich derzeit über Tauschbörsen verbreiten. Die Trojaner tragen die Namen Trj/WmvDownloader.A und Trj/WmvDownloader.B und stecken nicht wie bislang üblich in einer exe-Datei, sondern in einer Video-Datei. Das Übel nimmt seinen Lauf, wenn die Video-Datei (*.wmv) im Windows Media Player geöffnet wird.
Schädlinge nutzen Media Player
Die Trojaner nutzen die Technologie "Windows Media Digital Rights Management" (DRM) aus, die das Urheberrecht von multimedialen Inhalten schützen soll. Sie kommt bei Windows XP Service Pack 2 und dem Windows Media Player 10 zum Einsatz.

PC wird zugemüllt
Beim Aufruf der infizierten Video-Datei fragt der Windows Media Player eine Lizenz ab. Wenn diese nicht auf dem Rechner hinterlegt ist, dann wird nach ihr im Internet gesucht. Im Falle der infizierten Video-Dateien schlägt der Schutz dann den Download der Lizenzen der Firmen "Overpeer" (Trj/WmvDownloader.A) beziehungsweise "Protectmedia" (Trj/WmvDownloader.B) vor. Bei Bestätigung wird der Anwender auf eine Internetadresse umgeleitet, über die sich dann automatisch diverse Adware, Spyware, Dialer und andere Würmer auf dem System festsetzen

[hisch]

Tertris-Wurm treibt böses Spiel
Das PC-Spiel Tetris kommt zu neuen Ehren. Experten der Computersicherheitsfirma Sophos warnen vor einem neuen Wurm, der die Popularität des Knobel-Klassikers ausnutzt: "Cellery" tarnt sich als spielbare Tetris-Version, um sich in den Netzwerken unbemerkt zu verbreiten.
Infektion per Mausklick
"Cellery", dessen Name von der angezeigten Nachricht "Chancellery" herrührt, verändert die Windows-Einstellungen des befallenen Rechners. Auf diese Weise stellt der Wurm sicher, dass er automatisch startet, sobald das System hochgefahren wird. Während das Tetris-artige Computer-Game läuft, sucht der Wurm im Hintergrund nach weiteren verbundenen PCs, die er ebenso infizieren kann

Spiel sorgt für Ablenkung
"Das Spiel dient dem Wurm als Blickfang, um von seinen wahren Machenschaften abzulenken: nämlich sich von einem Computer zum nächsten im Netzwerk zu hangeln", erklärt Graham Cluley, Senior Technology Consultant bei Sophos. "Da Tetris allgemein bekannt ist, könnten PC-Nutzer fälschlicherweise meinen, dass es sich nur um ein harmloses Spiel handelt, das neu im Netzwerk installiert wurde. So schöpfen sie kaum Verdacht."
Getrübte Spielfreude
"Cellery" ist nicht der erste Virus, der dem Anwender ein PC-Spiel an die Hand gibt. Der Wurm ist vergleichsweise harmlos, da er auf die Verbreitung per eMail verzichtet. Anders dagegen Mail-Würmer wie "Bibrog" und "Coconut", die sich als Schießübung und Würfelspiel tarnen.

Ohne Virenschutz ...
"Anwender können in diesen Spielen nur dann die Nase vorn haben, wenn sie ihre Antiviren-Software regelmäßig auf den neuesten Stand bringen", warnt Cluley. "Bei rund Tausend neuen Viren jeden Monat kann nur gewinnen, wer die erforderlichen Systeme zum Schutz seiner Daten und Computerinfrastruktur installiert hat

... ein gewagtes Spiel
Obwohl der "Cellery"-Wurm bis jetzt in geringem Ausmaß im Umlauf ist, rät Sophos allen Unternehmen und Privatpersonen, ihr eMail-System mit einer umfassenden Sicherheitslösung vor Viren- und Spam- Bedrohungen zu schützen und sicherzustellen, dass ihre PCs mit einer selbst-aktualisierenden Antiviren-Lösung ausgerüstet sind.

[hisch]

Variante Zar.A
Wird Zar.A aufgerufen, kopiert er sich unter den Namen

raz32.exe
crssr.exe
tsunami.exe

in das Windows-Verzeichnis und trägt einen Startup Key für die Datei "crssr.exe" in die Registry ein:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CaptionMgr32" = "%systemroot%\crssr.exe"

wobei %systemroot% üblicherweise das Windows-Verzeichnis bezeichnet.

Verbreitung per E-Mail
Zar.A versucht, Mail-Adressen aus dem Adressbuch von Microsoft Outlook auszulesen. Er benutzt die MAPI-Funktionen um infizierte E-Mails an alle dort gefundenen Adressen zu verschicken:

Subject:

Tsunami Donation! Please help!

Body:

Please help us with your donation and view the attachment below! We need you!

Attachment :

tsunami.exe

Schadfunktion:
Der Wurm versucht einen DDoS (Distributed Denial of Service) - Angriff auf die Webseite

Nur registrierte Benutzer können in diesem Forum Links sehen!
Registriere dich oder logge dich ein!

Er kann auch eine gefälschte Fehlermeldung anzeigen:

Fatal Error: Couldn't initialize setup (CRC)

[hisch]

Stellen Sie sich vor: Ihr bislang absolut zuverlässiges Auto-Navigationssystem lotst Sie von einem Tag auf den anderen nur noch in die nächst beste Sackgasse - und das allem Anschein nach mit voller Absicht. Glaubt man Berichten aus den USA, müssen sich Autofahrer tatsächlich auf solche und noch schlimmere Folgen des Hightech-Booms in der Autotechnik gefasst machen
Viren im Lexus
Die amerikanische Automarke Lexus hat offenbar bereits einen Virus in seinen Modellen Landcruiser LX470 und LS430 entdeckt. Der ungebetene Gast soll sich über Bluetooth-Handys in dem Wagen-Kommunikationssystem eingenistet haben. Eine entsprechende Anfrage von der Toyota-Tochter sei beim russischen Antiviren-Spezialist Kaspersky eingegangen, berichtet das US-Magazin für Sicherheitsfragen SC Magazine. Lexus weiß allerdings offiziell nichts davon.

Deutsche Hersteller betroffen?
Auch Audi soll bereits auf ein ähnliches Problem gestoßen sein, meldet das IT-Magazin Computer Partner. Demnach habe die VW-Tochter nach Aussagen eines Branchenkenners vor einiger Zeit das gesamte GPS-System nachträglich mit einem Virenschutz versehen müssen.
Windows in Flugzeugen und Schiffen
Nicht nur in Autos, auch in Schiffen und U-Booten übernehmen immer häufiger ähnliche Betriebssysteme wichtige Aufgaben. "Ich habe bereits Screenshots von Windows-2000-basierten Systemen in großen Verkehrsflugzeugen gesehen", sagte der Forschungsdirektor der Antiviren-Firma F-Secure, Mikko Hypponen.


Millionen Wegfahrsperren in Gefahr
Ähnlich beunruhigende Meldungen kommen von der Johns-Hopkins-Universität in Baltimore. Findige Forscher haben den Code-Chip geknackt, der weltweit in über 150 Millionen von modernen Autoschlüsseln zum Einsatz kommt. Wer den individuellen Schlüssel-Code seines Opfers kennt, kann die Wegfahrsperre seines Autos umgehen. In den USA ständen dem Dieb noch mehr Türen offen. An vielen Tankstellen funktioniert der Schlüssel praktisch als elektronische Kreditkarte.

Kinderspiel für Hacker
Der Code ließe sich mit "vergleichsweise günstigen elektronischen Geräten" knacken, sagte der Sicherheitsexperte Avi Rubin vom Information Security Institute. Das Prinzip: Der Angreifer spioniert zunächst aus einigen Metern Entfernung mit einem Lesegerät über Funk die Daten des Schlüssels seines Opfers aus. Anschließend ermittelt er daraus mit Hilfe eines oder mehrerer PC den Code. Einen wenig tröstenden Tipp, wie man sich vor den Schnüffel-Attacken schützen kann, haben die Wissenschaftler auch parat: Nach Gebrauch den Schlüssel in eine Metallfolie wickeln.

[hisch]

Variante Anker.A
Alias: Ahker.B

Länge: 13824


Die Datei des Wurms ist eine Windows PE EXE-Datei, die mit UPX komprimiert wurde. Die Datei besitzt eine Länge von 13824 Byte, unkomprimiert über 61 KByte.

Wird der Wurm aufgerufen, kopiert er sich unter dem Namen

SERVICES.EXE

in das Windows-Verzeichnis und trägt sich in die Registry ein:

[HKLM\Software\Microsoft\windows\CurrentVersion\Run
"Norton Auto-Protect" = "SERVICES.EXE"

[HKLM\software\microsoft\windows\currentversion\runservices-]
"Windows Service" = "SERVICES.EXE"


[HKLM\software\microsoft\windows\currentversion\windowsupdate]
"auto update" = "SERVICES.EXE"


[HKLM\software\microsoft\windows\currentversion\app paths
"LUALL.exe" = "SERVICES.EXE"


[HKCR\txtfile\shell\open\command]
@ = "SERVICES.exe %1"

Zudem kopiert sich der Wurm in die Autostart-Ordner aller Benutzer. Dadurch wird erreicht, dass die Datei bei jedem Rechnerstart wieder aktiv wird.

Anker.A erstellt die Datei

C:\Norton AntiVirus.txt

die den folgenden Text enthält:

Script Blocking: Disabled

Verbreitung per E-Mail
Der Wurm verschickt E-Mails mit seiner Datei als Attachment an alle Adressen, die er im Outlook-Adressbuch findet.

Die infizierten E-Mails haben das Subject

Service Pack 2 BUG!!

Body:

Dear user I have been informed that there was a BUG in Windows
Service Pack 2 which was fixed I recommend you to download this
Patch version which will fix the bug and keep your system safe.


You will find the Patch file in the attachment, feal free to
send it to anyone.


I'll be in touch with you as soon as another bug is found.


Regards,
A.H

Attachment:

Fix_SP2.zip

Das Attachment ist ein Zip-Archiv, das die Wurmddatei enthält. Diese Datei lädt der Wurm vor der Weiterverbreitung neu von einer User-Webseite auf dem Geocities Webserver herunter.