|
|
Rubrik: Virenwarnung/Aktuelle Meldungen Zwei neue Mydoom-Varianten verbreiten sich schnell Die Absender-Adresse der E-Mails ist gefälscht (24.02.05) - AVERT (Antivirus and Vulnerability Emergency Response Team), das Virenforschungs-labor von McAfee, stuft die beiden entdeckten Internet-Wurm-Varianten W32/Mydoom.bc@MM (auch Mydoom.bc) und W32/Mydoom.bd@MM (auch Mydoom.bd) als besonders gefährlich ein. Die meisten Reports wurden derzeit in den USA gemeldet.
Anzeige
Beide Varianten des Wurms verbreiten sich über E-Mail und hängen eine Kopie von sich als Anhang an. Zusätzlich wird dann der Trojaner BackDoor-CEB.f runtergeladen und ausgeführt. Weiterhin werden auf dem infizierten Rechner verschiedene TCP-Ports geöffnet und Adressen durch Abfragen an gängige Suchmaschinen eingesammelt. Charakteristika Mydoom.bc@MM
und Mydoom.bd@MM Beide neuen Varianten sind vorangegangenen Varianten sehr ähnlich und verfügen über folgende charakteristischen Elemente:
·
Mass-Mailer-Wurm, der
E-Mails über eine eigene SMTP-Engine versendet
·
E-Mail-Adressen werden auf
dem infizierten System gesucht, nach zusätzlichen Adressen sucht der Wurm
über Suchmachinen im Internet.
·
Die Absender-Adresse der
E-Mails ist gefälscht
·
Download des BackDoor-CEB.f-Trojaners Der hauptsächliche Unterschied zwischen Mydoom.bc und Mydoom.bd ist die von den Urhebern des Virus programmierte Erscheinungsweise. Dadurch soll eine Entdeckung verhindert werden. Anwendern empfiehlt McAfee, äußerst vorsichtig mit Mails unbekannter Herkunft zu sein und elektronische Nachrichten mit folgendem Inhalt ungelesen zu löschen: > From: „Gefälschte
Absender-Adresse“ - nicht in jedem Falle muss davon ausgegangen werden, das
die Absenderadresse infiziert ist. Zusätzlich können falsche Alert-Messages
eines Mail-Servers auftreten, die über eine vermeintliche Infizierung des
Empfängers informieren wollen. > Die Absender-Adresse kann
durch eine aufgelesene E-Mail-Adresse gefälscht sein. Zusätzlich gibt es
Varianten, die als Rückläufer (Bounce) gestaltet sind und folgende Adressen
nutzen: o mailer-daemon@(target_domain) o noreply@(target_domain) o postmaster@(target_domain) o Beim angezeigten Namen werden folgende Begriffe verwendet:
o
"Postmaster"
o
"Mail
Administrator"
o
"Automatic
Email Delivery Software"
o
"Post
Office"
o
"The
Post Office"
o
"Bounced
mail"
o
"Returned
mail"
o
"MAILER-DAEMON"
o
"Mail
Delivery Subsystem" o Beim Subject werden folgende Begriffe verwendet:
o
hello
o
hi
o
error
o
status
o
test
o
report
o
delivery
failed
o
Message
could not be delivered
o
Mail
System Error - Returned Mail
o
Delivery
reports about your e-mail
o
Returned
mail: see transcript for details
o
Returned
mail: Data format error Beim Message Body werden Inhalte aus unterschiedlichen Zeichenketten generiert. Die genaue Vorgehensweise sieht vor, dass nach Ausführung der infizierten Datei diese sich in das Hauptverzeichnis von Windows kopiert. Der Wurm selbst installiert sich dabei als JAVA.EXE im Windows-Verzeichnis. Dies sieht wie folgt aus: --
C:/WINDOWS/JAVA.EXE Weiterhin wird die Datei SERVICES.EXE in das gleiche Verzeichnis abgelegt: --
C:/WINDOWS/SERVICES.EXE Danach werden folgende Registry-Einträge beim Start erstellt: --
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run "JavaVM"
= %WinDir%/JAVA.EXE --
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run "Services"
= %WinDir%/SERVICES.EXE --
HKEY_CURRENT_USER/Software/Microsoft/Daemon --
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Daemon Durch die Ausführung von SERVICES.EXE werden auf dem Rechner verschiedene TCP-Ports geöffnet, um Verbindungen aufzubauen. Dieser Prozess verursacht auch Netzwerk-Traffic durch zufällig generierte IP-Adressen. Sobald eine weitere IP-Adresse mit demselben Backdoor-Trojaner gefunden ist, wird diese Adresse verschlüsselt und in einen File "zincite.log" geschrieben. (McAfee: ma) |
||
|
