"Hi how are you? " und "W32 Nimda"

TraXX

Ex-Admin
Joined
Jul 28, 2001
Messages
2,783
Points
135
Wir hatten uns ja schon im Topic "Die Admins werden gehackt" über den einen Wurm ausgelassen.

Der Wurm den wir da haben nennt sich "Worm/W32.Sircam"
dazu habe ich folgendes gefunden:

SirCam ist ein Wurm und Win32 Virus mit einer Größe von ca. 150 Kbytes. Wird dieser ausgeführt, so erstellt er folgende Dateien:
‘C:\Recyled\SirC32.exe’
‘C:\Recyled\LoveJoy_.com’
‘C:\Windows\System\Scam32.exe’
‘C:\Windows\Temp\LoveJoy_.com’

Die Datei SirC32.exe wird in die Registry Shell - Kommando für EXE Dateien eingetragen, wobei bei jedem Start einer EXE Datei sich der Wurm erneut ausführt. Hierzu nutzt er folgenden Eintrag in der Registry:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"C:\\recycled\\SirC32.exe\" \"%1\" %*"

Die Scam32.exe wird in die Registry als “Treiber“ eingetragen, die bei jedem Systemstart aufgerufen wird:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "Driver32"="C:\\WINDOWS\\SYSTEM\\SCam32.exe"

SirCam kann sich auch in die Autoexec.bat mit folgenden Befehl eintragen:

@win \recycled\SirC32.exe

Der Wurm legt noch einen dritten Eintrag in der Registry an:

[HKEY_LOCAL_MACHINE\Software\SirCam]

Sollte die Datei Scam32.exe oder SirC32.exe mit der Dateiendung .DOC.COM versehen werden, löscht der Wurm beim Ausführen sämtliche Dateien, die auf dem Laufwerk C: gespeichert worden sind.

Zum Versenden benutzt der Wurm seine eigene SMTP-Engine und verschickt sich selbst als ein ausführbares Programm. Die dazugehörigen Emailadressen findet er im Windows-Adressbuch und in Dateien, die mit folgenden Dateinamen beginnen bzw. enden: SHO*, GET*, HOT*, *.HTM, *WAB und einige mehr. Diese Emailadressen werden als DLL Datei getarnt gespeichert, die sich im System–Verzeichnis von Windows befindet. Der Name der Datei ist meistens SCD1.DLL, wobei sich der zweite und dritte Buchstabe beliebig ändern kann.

Das Attachment der infizierten Email hat eine doppelte Dateierweiterung, d.h.

-> Dateiname.ext1.ext2

Die erste Dateierweiterung (ext1) kann folgende Varianten besitzen: DOC, XLS, ZIP, EXE. Die zweite Erweiterung (ext2) besitzt eine der folgenden Extensions: PIF, LNK, BAT, COM.

Der Name des Attachment (Dateiname.ext1) kommt von einer beliebigen Datei, die im Ordner ’Eigene Dateien’ gespeichert wurde. Der Wurm erstellt eine Liste aller dort stehenden .DOC .EXE .GIF .JPG .JPEG .MPEG .MOV .MPG .PDF .XLS .ZIP – Dateien und speichert diese als SCD.DLL im System–Verzeichnis ab. Verschickt sich der Wurm, entnimmt er der Liste einen beliebigen Dateinamen und benennt das entsprechende Attachment um.

Wird der Wurm als Email empfangen, kann sie folgendermaßen aussehen:

Subject: Der Betreff der Email kann unterschiedlich sein. Der Wurm benützt den Namen des Attachment und trägt ihn in den Betreff ein.
Message: Der Nachrichten – Body hat verschiedene Inhalte, wobei die erste und letzte Zeile (in der Spanischen und Englischen Version) immer gleich sind.


Englische Version
Erste Zeile: Hi! How are you?
Letzte Zeile: See you later, Thanks

Spanische Version
Erste Zeile: Hola como estas ?
Letzte Zeile: Nos vemos pronto. Gracias

Wird das Attachment des Wurmes ausgeführt, wird ein Word Dokument (siehe Screenshot) aufgerufen, während im Hintergrund das System infiziert wird

<img src="http://www.ultimate-av.de/images/sircam1.jpg" border=0>

<hr>
<hr>
<hr>

Der neuste ist ja der Nimda wurm:

Verbreitung über das Web:
Für den Internet Information Server (IIS) von Microsoft gibt es seit längerer Zeit einen Patch, der das Sicherheitsloch schließt, welches "Nimda" als Einfallstor benutzt. Allerdings ist dieser Patch längst nicht auf allen IIS installiert. Wird eine infizierte Webseite besucht, wird ein neues Browser-Fenster mittels Javascript geöffnet und der dort in einer Maildatei enthaltene Virus-Code direkt ausgeführt. Ist Javascript deaktiviert, so schlägt die Infektion fehl.

Verbreitung über E-Mail:
"Nimda" durchsucht das E-Mail-Postfach sowie temporäre "htm"- und "html"-Dateien nach Mail-Adressen und verschickt sich dann selbst an die gefundenen Adressen. Der E-Mail-Anhang "readme.exe" ist in der Regel ein MIME-Typ Audio/X-Wav und kann daher den Code mittels Media Player automatisch starten.
Achtung: Der Datei-Anhang muss nicht angeklickt werden. Es genügt bereits, wenn bei Outlook oder Outlook Express das Vorschaufenster aktiviert ist. Heimtückisch: Der Wurm verschickt sich zum Teil mit gefälschten Absenderadressen, das heißt, eine Mail kann scheinbar von einer Person kommen, die gar nicht infiziert ist und dann fälschlicherweise beschuldigt wird.

Verbreitung über freigegebene Laufwerke:
Der Wurm gibt auf befallenen Computern Laufwerke frei und richtet einen Gast-Zugang mit Administrator-Rechten ein. Danach wird nach weiteren freigegebenen Laufwerken gesucht. Die darauf enthaltenen exe-Dateien werden durch den Wurm-Code "ergänzt": Sie bleiben weiterhin lauffähig, aber der Wurm wird jeweils als erstes gestartet. User, die daraufhin Daten von diesem Laufwerk starten, infizieren ihren Rechner dadurch ebenfalls mit "Nimda".

So erkennt man den Scheiss wurm

Beim ersten Hinsehen erkennt man "W32/Nimda" nicht. Denn er macht sich nicht durch Bildschirmmeldungen o.ä. bemerkbar. Um sicher zu sein, ob das System infiziert ist, bedarf es schon eines Virenscanners oder eines Blicks in die Tiefen des Systems:
Die Datei readme.exe – dies ist der eigentliche Viruscode – ist 57344 Byte groß. Wenn Sie also eine Datei mit diesem Namen und exakt der gleichen Größe auf ihrer Festplatte haben, sollten Sie sich um geeignete Abwehrmaßnahmen kümmern.
Wenn auf dem Laufwerk C: im Hauptverzeichnis die Datei "admin.dll" vorhanden ist, ist Ihr System infiziert, da es diese Datei auf gesunden Rechnern nicht gibt.
Ist das System infiziert, laufen alle Programme – zum Beispiel Word – normal weiter. "Nimda" infiziert die exe-Dateien, indem er seinen eigenen Code buchstäblich anklebt. Bei jedem Start von Word wird der Wurm nun wieder aktiv.

Die infizierten Programme können nicht manuell repariert werden. Der Virenscanner von McAffee erledigt das säubern der Datei völlig automatisch. Andere Hersteller arbeiten auch schon an einer sauberen Entfernung - erkennen können ihn mittlerweile alle Scanner.


Schützen kann man sich gg den scheiss mit jedem virenprogramm zur zeit.

ich habe nur einen brocken von sircam auf meinem system gehabt, aber der war ungefährlich ;))
 
dann werd ich mir gleich mal ein update für mein virenscanner ziehen baaah scheiss viren immer grrrrrr
 
Ich hab auch schon das neueste Update und nix gefunden und mein C steht immer noch lol.
Aber vorischtshalber seh ich nochmal genau nach
 
Spezielles Tool

Hier ein spezielles Tool für den Virus, SirCam, der der so gut im umlauf im uf ist.

einfach ausführen und wenig programme nebenher laufen lassen.
 

Attachments

  • fixsirc.zip
    67.7 KB · Views: 4
Back
Top Bottom