Rubrik: Virenwarnung/Aktuelle Meldungen

Kaspersky Labs: Neuer Wurm Novarg - neue globale Epidemie

Im KaZaA-Netzwerk treibt Novarg unter verschiedenen Namen sein Unwesen

(31.01.04) - Kaspersky Labs warnt vor dem neuen gefährlichen Internet-Wurm "Novarg" (alias Mydoom). In nur wenigen Stunden hat diese Malware eine globale Epidemie hervorrufen können; weltweit sind bereits ca. 300.000 Rechner betroffen. Dies ist bis jetzt die größte Epidemie in diesem Jahr und hat gute Chancen die Rekorde von 2003 zu übertreffen. Eine solch ausbruchartige Aktivität einer Malware deutet mit ziemlicher Sicherheit darauf hin, dass sich die Viren-Autoren gut vorbereitet haben. Die Vorbereitung umfasste auch die Erstellung eines Netzwerks von infizierten Rechnern. Sobald eine „kritische Anzahl“ infizierter Rechner erzielt worden war, erging ein zentralisierter Befehl an dieses Netzwerk zum Versand von Novarg. Eine solche Technologie wurde bereits früher vom E-Mail-Wurm Sobig.F verwendet. Eine genaue Analyse des Verbreitungsgebiets lässt darauf schließen, dass Novarg in Russland geschrieben worden ist.

Prophylaxe, Diagnose und Schutz

Novarg verbreitet sich auf zwei Arten über das Internet; via eMail sowie über das P2P-Netzwerk KaZaA.

Die infizierten E-Mails haben eine zufällig gewählte Absenderadresse, acht Varianten des Betreffs, vier Varianten des Textkörpers, 18 mögliche Dateinamen sowie fünf Varianten der Erweiterungen der angehängten Dateien. Zudem verbreitet sich der Wurm mit ziemlicher Wahrscheinlichkeit über eMails mit einer zufälligen sinnlosen Abfolge von Zeichenen in Betreff, Textkörper sowie Namen der angehängten Datei. Diese Variabilität in den äußerlichen Erkennungsmerkmalen erschwert den Anwendern eine eindeutige Identifikation von infizierten E-Mails.

Im KaZaA-Netzwerk treibt Novarg unter verschiedenen Namen (z.B. winamp5, icq2004-final) und verschiedenen Erweiterungen (bat, exe, scr, pif) sein Unwesen.

Wenn der Anwender unvorsichtig genug war, eine infizierte Datei zu starten, die er in einer eMail erhalten oder vom KaZaA-Netzwerk heruntergeladen hatte, beginnt der Wurm seine Prozedur zum Eindringen in den Rechner und zu seiner weiteren Verbreitung.

Gleich nach dem Starten öffnet Novarg die Anwendung Notepad und lässt eine Zufallsabfolge von Zeichen erscheinen. Gleichzeitig erstellt er im Windows-Systemverzeichnis zwei Dateien unter den Namen TASKMON.EXE (Wirtsdatei des Wurms) sowie SHIMGAPI.DLL (Trojaner-Komponente zur unautorisierten entfernten Verwaltung des Rechners) und registriert sie Im Windows-Startver-zeichnis. Dadurch wird die Malware bei jedem Neustart des Rechners aktiviert.

Novarg startet dann die Prozedur zu seiner weiteren Verbreitung. Zum Versand über E-Mails durchsucht er die Festplatte (Dateien mit den Erweiterungen HTM, WAB, TXT u.a.) nach eMail-Adressen und verschickt, vom Besitzer des Rechners unbemerkt, infizierte E-Mails an diese. Außerdem überprüft der Wurm, ob der Rechner an das KaZaA-Netzwerk angeschlossen ist und kopiert sich in das öffentlich zugängliche File-Share-Verzeichnis.

Novarg verfügt über sehr gefährliche Payloads. Erstens installiert er auf dem infizierten Rechner ein Proxy-Server-Modul, das später Übeltäter zum Versand von Spam oder zur Installation neuer Malware-Versionen nutzen können. Zweitens wird ein Backdoor-Programm (Utility zur unautorisierten entfernten Verwaltung) auf dem Rechner installiert. Dadurch erlangen die Viren-Autoren eine vollständige Kontrolle über den Rechner und können Daten ausspionieren, löschen und verändern, Programme installieren usw. Drittens ist in Novarg eine Funktion zur Durchführung von DoS-Attacken auf die Web-Seite www.sco.com angelegt. Die Funktion wird vom 1.-12. Februar 2004 aktiv. In diesem Zeitraum verschicken alle infizierten Rechner Anfragen an diese Web-Seite, was zu deren Zusammenbruch führen kann.

"Die Gefahr einer Kombination von Viren- und Spam-Technologien sowie die Erstellung eines gemeinsamen zweckgerichteten Netzwerks von Cyber-Verbrecher wird Realität. In den ersten beiden Tagen dieser Woche haben wir gleich zwei Schadprogramme entdeckt, welche diese Technologie bezeugen," meinte Eugene Kaspersky, Leiter der Antiviren-Forschung von Kaspersky Labs. "Bereits in nächster Zukunft kann dieses Problem eine neue Etappe in der Computer-Viren-Forschung bedeuten, welche im Zeichen von immer tückischeren und häufigeren Epidemien steht." (ma)

Ansprechpartner: Denis Zenkin

Tel. (007-095) 9485650, Fax (007-095) 9484331

E-Mail: denis.zenkin@kaspersky.com

Ansprechpartner: Andreas Lamm

Spretistraße 7, D 85057 Ingolstadt

Tel. (0700) 55010000, Fax (0700) 55010001

E-Mail: Andreas.Lamm@de.kaspersky.com

Web: www.kaspersky.com