Aktuelle Viren warnungen

[hisch]

Alias: Beagle.Y

Erstes Auftreten: April 2004


Bagle.Y wurde das erste Mal am 26. April 2004 gefunden. Diese Variante unterscheidet sich von den bisher bekannten Varianten. Der Wurm sendet unterschiedliche Typen infizierter E-Mails. Bagle.Y kopiert seinen Code unter verschiedenen Namen in Shared Verzeichnisse und öffnet auf dem infizierten System eine Backdoor. Wird eine infizierte E-Mail angezeigt, so werden Kirschen als Icon angezeigt:
Der Code des Wurms (PE EXE-Datei), der etwa 39 KByte lang ist, wurde mit UPX komprimiert. Zusätzlich sind der Code und Daten-Bereiche verschlüsselt. An das Ende des Codes werden zufällig gewählte Zeichenketten angefügt und am Anfang des Codes befindet sich manchmal ein binärer Dropper.

Wird der Wurm aufgerufen, kopiert er zunächst seinen Code unter dem Namen

DRVSYS.EXE

in das Windows System-Verzeichnis und genereriert in der Registry einen Startup Key:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"drvsys.exe" = "%winsysdir%\drvsys.exe"

Weiterhin werden zwei weitere Dateien im Windows-System-Verzeichnis abgelegt:

drvsys.exeopen
drvsys.exeopenopen

Diese Dateien werden für den Versand infizierter E-Mails benötigt
Die von Bagle.Y versendeten infizierten E-Mails besitzen unterschiedliche Typen. Das Attachment, das den Wurm-Code enthält, kann die Extension COM, EXE, SCR und CPL besitzen. Er kann sich aber auch in einem passwortgeschützten ZIP-Archiv (Extension ZIP) befinden. Schließlich kann das Attachment auch eine HTA- oder VBS-Datei enthalten, in der sich ein Script-Dropper für den Wurm-Code befindet.

Die HTA-Datei erweckt den Eindruck, dass es sich um ein Windows-Update handelt. Diese generiert unter dem Namen

QQ.VBS

eine VBS-Datei, die den Code unter dem Namen

BBBS.EXE

im Windows System-Verzeichnis speichert. Die VBS-Datei speichert und startet diese Datei.

Breitet sich der Wurm über eine CPL-Datei aus, wird am Anfang des Wurm-Codes ein kleiner binärer Dropper hinzugefügt. Wird die CPL-Datei aktiviert, kopiert sie sich unter dem Namen

CPLSTUB.EXE

in das Windows-Verzeichnis. Anschließend wird der Wurm-Code in das Windows System-Verzeichnis kopiert. Der Wurm gibt eine irreführende Fehlermeldung aus.

Error!

Can't find a viewer associated with the file

Backdoor
Die Backdoor überwacht den Port 2535. Ist der Wurm aktiv, werden periodisch Verbindungen zu 93 Web-Sites hergestellt und die ID und der Port des Backdoors übertragen.

Verbreitung über Shared Verzeichnisse
Bagle.Y kann sich auch über Shared Verzeichnisse ausbreiten. Findet er Verzeichnisse, die die Zeichenkette "shar" enthalten, kopiert er seinen Code unter einem der folgenden Namen in das gefundene Verzeichnis:

Bagle.Y beendet Prozesse von Sicherheits- und Anti-Viren-Programmen:

[hisch]

Variante Netsky.AA
Alias: Moodown.AA, Somefool.AA

Erstes Auftreten: April 2004

Länge: 17408


Netsky.AA wurde das erste Mal am 27. April 2004 gefunden. Der Virus-Code wurde komprimiert.

Wird Netsky.AA aufgerufen, kopiert er seinen Code unter dem Namen

WINLOGON.SCR

in das Windows-Verzeichnis. In die Registry trägt er einen Startup-Key ein:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkynetsRevenge" = "%WinDir%\winlogon.scr"

[hisch]

Name: Sasser
Alias-Namen:
Typ: Wurm
Erstes Auftreten: Mai 2004
Der Internet Wurm Sasser breitet sich über die sog. LSASS Sicherheitslücke in Windows aus (MS04-011). Er befällt Systeme mit Windows 2000 und XP, die nicht das entsprechende Update installiert haben und ohne Firewall mit dem Internet verbunden sind.

Wenn der Wurm ein System infiziert, erzeugt er eine Kopie von sich im Windows-Verzeichnis in der Datei "AVSERVE.EXE". Diese trägt er zum automatischen Start in

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe" = "%WinDir%\avserve.exe"

ein. Um sicherzustellen, das er nicht mehrfach aktiv ist, erzeugt der Wurm einen sog. Mutex "Jobaka3l".

Der Wurm versucht dann, gleichzeitig auf 128 zufälligen IP-Adressen anfällige Systeme zu finden. Hierfür wird der Port 445 verwendet. Dies kann bei Systemen ohne das entsprechende Update zu Abstürzen der LSASS.EXE führen.

Bei einem Angriff ermittelt der Wurm das Betriebssystem des angegriffenen System, um die entsprechenden Funktionen einsetzen zu können (für Windows XP und 2000 das Ausnutzen einer allgemeinen Sicherheitslücke, bei Windows 2000 Advanced Server eine Sicherheitslücke in SP4).

Wenn der Angriff erfolgreich ist, wird eine Shell auf Port 9996 gestartet. Hierdurch instruiert Sasser den angegriffenen Computer, den Wurm vom angreifenden System per FTP (Port 5554) herunterzuladen und auszuführen. Die Transaktionen des FTP Servers auf dem angreifenden System werden in "C:\WIN.LOG" protokolliert.


Zurück zum Anfang

[hisch]

Variante Bagle.Z
Alias: Beagle.Z

Erstes Auftreten: April 2004


Bagle.Z wurde das erste Mal am 27. April 2004 gefunden. Er ist eng mit Bagle.Y verwandt, versendet aber keine Grafik mit seinen Mails.

Der Code des Wurms (PE EXE-Datei), der etwa 20 KByte lang ist, wurde mit UPX komprimiert. Zusätzlich sind der Code und Daten-Bereiche verschlüsselt. An das Ende des Codes werden zufällig gewählte Zeichenketten angefügt und am Anfang des Codes befindet sich manchmal ein binärer Dropper.

Wird der Wurm aufgerufen, kopiert er zunächst seinen Code unter dem Namen

DRVDDLL.EXE

in das Windows System-Verzeichnis und generiert in der Registry einen Startup Key:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"drvddll.exe" = "%winsysdir%\drvddll.exe"


Weiterhin werden zwei weitere Dateien im Windows-System-Verzeichnis abgelegt:

drvddll.exeopen
drvddll.exeopenopen

Diese Dateien werden für den Versand infizierter E-Mails benötigt.

Der Wurm gibt eine irreführende Fehlermeldung aus.

Error!

Can't find a viewer associated with the file

Die von Bagle.Z versendeten infizierten E-Mails besitzen unterschiedliche Typen. Das Attachment, das den Wurm-Code enthält, kann die Extension COM, EXE, SCR und CPL besitzen. Er kann sich aber auch in einem passwortgeschützten ZIP-Archiv (Extension ZIP) befinden. Schließlich kann das Attachment auch eine HTA- oder VBS-Datei enthalten, in der sich ein Script-Dropper für den Wurm-Code befindet.

Die HTA-Datei erweckt den Eindruck, dass es sich um ein Windows-Update handelt. Diese generiert unter dem Namen

QFL.VBS

eine VBS-Datei, die den Code unter dem Namen

QWRK.EXE

im Windows System-Verzeichnis speichert. Die VBS-Datei speichert und startet diese Datei.

Wenn sich der Wurm-Code im einem Passwort-"geschützten" ZIP-Archiv versendet, fügt er eine der folgenden Zeichenketten in die Mail ein:

Archive password: <Passwort>
Attached file is protected with the password for security reasons. Password is <Passwort>
For security purposes the attached file is password protected. Password -- <Passwort>
For security reasons attached file is password protected. The password is <Passwort>
In order to read the attach you have to use the following password: <Passwort>
Note: Use password <Passwort> to open archive
Pass - <Passwort>
Password - <Passwort>
Password: <Passwort>

wobei <Passwort> eine Grafik mit dem Passwort ist. Gelegentlich wird das Passwort auch als einfacher ASCII-Text eingefügt.

Breitet sich der Wurm über eine CPL-Datei aus, wird am Anfang des Wurm-Codes ein kleiner binärer Dropper hinzugefügt. Wird die CPL-Datei aktiviert, kopiert sie sich unter dem Namen

CPLSTUB.EXE

in das Windows-Verzeichnis. Anschließend wird der Wurm-Code in das Windows System-Verzeichnis kopiert.

Backdoor
Die Backdoor überwacht den Port 2535. Ist der Wurm aktiv, werden periodisch Verbindungen zu 93 Web-Sites hergestellt und die ID und der Port des Backdoors übertragen.

[hisch]

Neuer Wurm attackiert Millionen Computer

Ein neuer Internet-Wurm greift derzeit Millionen Computer an. Seine schnelle Verbreitung wird durch eine Sicherheitslücke in Windows begünstigt.


Computerexperten warnen vor einem neuen Internet-Wurm. Nach Angaben eines finnischen Virus-Experten breitet sich «WORM_SASSER.A» derzeit im Internet aus. Der Wurm habe möglicherweise bereits weltweit Millionen von Rechnern infiziert, sagte Mikko Hyppoenen am Samstag der Nachrichtenagentur AFP.
Möglich wird die schnelle Verbreitung des Wurms durch eine Sicherheitslücke im Windows Local Security Authority Subsystem Service (LSASS). Die Lücke ist bereits seit dem 13. April 2004 bekannt und betrifft die Systeme Windows NT, 2000, XP und Server 2003.
Potenzielles Angriffsziel

Laut dem Münchener Anti-Viren-Spezialisten «Trend Micro» kann «Sasser» die volle Kontrolle über den betroffenen Computer erhalten. Die Weiterverbreitung wird demnach dadurch begünstigt, dass der Wurm einen Scan zufälliger IP-Adressen durchführt, um, wie es heißt «verwundbare Systeme aufzuspüren». Ist ein potenzielles Angriffsziel gefunden, versendet «Sasser» laut «Trend Micro» ein speziell präpariertes Datenpaket an die IP-Adresse. Dadurch werde ein «Buffer Overrun in der LSASS.EXE ausgelöst, was einen Absturz des Programms sowie einen Neustart des System zur Folge hat».

Um sich vor dem Wurm zu schützen, empfehlen Experten für das eigene Betriebssystem einen passenden Patch aus dem Microsoft Security Bulletin. Alternativ könne man mit einem Windows Update alle empfohlenen Patches installieren, da dabei gleich andere Sicherheitslücken in Windows mit geschlossen würden, hieß es. (nz)