Sicherheitshinweis - Wurm


    Hast du dir den denn mal angesehen ?
    http://www.heise.de/security/dienste/browsercheck/demos/ie/ ;)

    Alias : Backdoor.AXJ, Berbew, Webber
    Typ : Trojaner


    Erläuterung :



    Troj/Padodo-Fam ist eine Familie von Proxy- und Backdoor-Trojanern mit Funktionen zum Stehlen von Kennwörtern.


    Wenn sie erstmals ausgeführt werden, kopieren sich die Trojaner mit zufälligen Dateinamen und einer EXE-Erweiterung in den Windows-Systemordner und legen eine Library-DLL mit zufälligem Namen und einer DLL-Erweiterung im Systemordner ab.


    Die DLL wird als COM-Objekt registriert, indem Registrierungseinträge erstellt werden, die den folgenden ähnlich sind:


    HKCR\CLSID\(79FEACFF-FFCE-815E-A900-316290B5B738)\InProcServer32\


    HKCR\CLSID\(79FEACFF-FFCE-815E-A900-316290B5B738)\InProcServer32\@ =


    HKCR\CLSID\(79FEACFF-FFCE-815E-A900-316290B5B738)\InProcServer32\ThreadingModel = "Apartment"


    Der folgende Registrierungseintrag wird erstellt, damit die DLL beim Start geladen wird:


    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\Web Event Logger =(79FEACFF-FFCE-815E-A900-316290B5B738)


    Die DLL-Komponente startet das Trojaner-Programm, das dann kontinuierlich im Hintergrund aktiv ist und unbefugten Zugriff auf und die Steuerung über den Computer von einem remoten Netzwerkspeicherort ermöglicht.


    Es können Protokolldateien im Systemordner erstellt werden, um die gestohlenen Kennwörter zu speichern.


    Der Trojaner stellt einen Proxyserver an einem zufälligen Port bereit, mit dem Daten über den Computer geleitet werden können. Der Proxy kann dazu verwendet werden, Zugriffsbeschränkungen zu umgehen, die IP-Adresse des Quellcomputers zu verstecken und Spam-E-Mails weiterzuleiten.


    Nach der Installation versucht der Trojaner, Benachrichtigungen mit Angaben zu der IP-Adresse des Computers und zu zugreifbaren Ports an remote Speicherorte zu senden.

    W32/Wurmark-D ist ein Massmailing-Wurm, der sich als ZIP-Attachment an E-Mail-Adressen sendet, die er auf dem infizierten Computer aufgespürt hat.



    Wenn er gestartet wird, zeigt der Wurm das Bild newyear.jpg an und installiert sich auf dem Computer.



    W32/Wurmark-D legt ANSMTP.DLL, attached.zip, bszip.dll, newyear.jpg und xxz.tmp im Windows-Ordner und bt32.exe im C:\ Ordner ab. Der Wurm erstellt daraufhin die folgenden Registrierungseinträge, so dass er bei der Benutzeranmeldung oder beim Computerneustart automatisch aktiviert wird:



    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    vb6
    BT32.EXE



    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
    vb6
    BT32.EXE



    Der Wurm erstellt außerdem den zusätzlichen Registrierungseintrag:



    HKCU\Software\Microsoft\OLE
    vb6
    BT32.EXE



    W32/Wurmark-D spürt E-Mail-Adressen in Dateien mit folgenden Erweiterungen auf: WAB, ADB, TBB, DBX, ASP, PHP, HTM, HTML, SHT, TXT und DOC



    Die ZIP-Datei, die W32/Wurmark-D enthält, hat den Namen attached.zip



    Die von dem Wurm versendeten E-Mails scheinen von den nachfolgend aufgeführten Adressen zu stammen und haben folgende Form:



    godfather@hotmail.com
    alex@hotmail.com
    George@gmail.com
    marija@hotmail.com
    mary13@gmail.com
    cutie88@ogrish.com
    BARBARA@hotmail.com
    Jane78@hotmail.com
    britany56@sex.com
    michael77@gmail.com
    admirer12@yahoo.com
    funyblock@hotmail.com
    tit_fuck_909@paltalk.com
    barby56@aol.com
    Jane44@download.com



    HAPPY NEW YEAR!!!



    All the best in new year from our family
    here is a litle attachment to make you smile in new year
    email me back haha...



    MARY CHRISTMAS from our family



    All the best in new year and christams from our family
    i was lauging like mad when i saw it! :D



    Die Datei im Anhang kann einen der folgenden Namen haben:



    Sexy_new_year.scr
    HOT_NEW_YEAR.scr
    Marry_christmas.scr
    with_love.scr
    From_my_hart.scr
    new_year.scr
    Hot_new_year.scr



    W32/Wurmark-D kann auch versuchen, verschiedene Antiviren-Prozesse zu beenden:



    ANSMTP.DLL, bszip.dll und newyear.jpg sind keine schädlichen Dateien und können gelöscht werden. bt32.exe wird von Sophos als W32/Rbot-TD erkannt. xxz.tmp ist eine Kopie des Wurms und sollte gelöscht werden.

    W32/Rbot-TD ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoortrojaner-Funktionalität, wodurch unbefugter Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht wird, während der Wurm als Dienstprozess im Hintergrund aktiv ist.



    W32/Rbot-TD verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern, nachdem das Backdoortrojaner-Element den entsprechenden Befehl von einem remoten Anwender erhalten hat.



    Wenn er erstmals gestartet wird, kopiert sich der Wrm mit einem zufällig erzeugten Dateinamen in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge, damit er bei der Benutzeranmeldung oder beim Computerneustart aktiviert wird:



    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    vb6
    <Dateiname>



    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
    vb6
    <Dateiname>



    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    vb6
    <Dateiname>



    W32/Rbot-TD kann außerdem die folgenden Registrierungseinträge erstellen:



    HKLM\SOFTWARE\Microsoft\Ole
    EnableDCOM
    N



    HKLM\SYSTEM\CurrentControlSet\Control\Lsa
    restrictanonymous
    1



    W32/Rbot-TD kann angewiesen werden, Netzwerke nach anfälligen Computern zu durchsuchen, an DDoS-Attacken teilzunehmen, als SOCKS4-Proxy zu fungieren, Daten zu stehlen und zu versenden oder über IRC-Befehle Daten von einem remoten Angreifer zu empfangen.

    W32/Woned-A ist ein Wurm für die Windows-Plattform.



    W32/Woned-A verbreitet sich, indem er sich in Ordner kopiert, die von Anwendungen zum Dateiaustausch wie Adobe_Photoshop_CS_FULL_AND_CRACK.exe verwendet werden.



    W32/Woned-A zeigt eine Fehlermeldung an mit der Überschrift "Error" und dem Inhalt



    "-=0[()]V1[()]0=- 0wN',27h,'z U :-)"



    W32/Woned-A kopiert sich unter WIN32DLL.EXE und fügt den folgenden Registrierungseintrag hinzu, so dass er bei jeder Benutzeranmeldung automatisch startet:



    HKCU\Software\Microsoft\Windows\CurrentVersion\Run


    Win32DLL
    <Pfad zum Wurm>



    ------------------------------------------------------------------------------------------------------------------------


    Wiederherstellung


    Windows NT/2000/XP/2003



    Unter Windows NT/2000/XP/2003 müssen Sie außerdem den folgenden Registrierungseintrag bearbeiten. Die Entfernung dieses Eintrags ist unter Windows 95/98/Me optional. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.



    Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.



    Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.



    Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\. Suchen Sie für jeden Benutzer den Eintrag:



    HKU\[Codeziffer]\Software\Microsoft\Windows\CurrentVersion\Run\


    Win32DLL
    <Pfad zum Wurm>



    Löschen Sie den Eintrag, sofern er existiert.



    Schließen Sie den Registrierungseditor.

    VBS/Mcon-G
    VBS/Mcon-G ist ein Wurm, der sich über Netzwerkfreigaben und IRC-Kanäle verbreitet.


    Wenn er erstmals gestartet wird, kopiert sich der Wurm als ttfload.vbs in alle Ordner, deren Namen die Zeichenfolge "startup" (unabhängig von Groß- und Kleinschreibung) enthält, sowie in den Windows-Fonts-Ordner.


    Der Wurm startet daraufhin ttfload.vbs aus dem Windows-Fonts-Ordner, zeigt eine Meldung mit dem Text "ERROR", "INVALID FILE FORMAT" an und löscht sich dann selbst.


    Mehr Info: http://www.sophos.de/virusinfo/analyses/vbsmcong.html


    -----------------------------------------------------------------------------------------------------------------------------
    W32/Agobot-OV
    W32/Agobot-OV ist ein Netzwerkwurm mit IRC-Backdoor-Funktionalität.


    Sobald er installiert ist, verbindet sich W32/Agobot-OV mit einem vorkonfigurierten IRC-Server und einem Kanal und wartet auf weitere Anweisungen. Aufgrund dieser Anweisungen kann der Bot folgende Aktionen starten:


    Starten einer UDP-, TCP-, ICMP-, syn-, http- oder ping-Flood
    Starten eines socks4-, socks5-, http- oder https--Proxyservers
    Umleiten von TCP- oder GRE-Verbindungen
    Starten eines FTP-Servers
    Starten eines Commandshell-Servers
    Anzeigen von Statistiken über das infizierte System
    Neustarten bzw. Herunterfahren des infizierten Computers
    Beenden von Antiviren- und Sicherheitsprozessen
    Auflisten bzw. Beenden aktiver Prozesse
    Durchsuchen zufällig ausgewählter oder aufeinander folgender IPs nach infizierbaren Computern
    Freigeben lokaler Laufwerke im Netzwerk
    Beenden anfälliger Dienste, um den Computer zu sichern
    Suchen nach Produktschlüsseln
    Durchsuchen der lokalen Laufwerke nach AOL-Nutzerdaten
    Schnüffeln in Netzwerkverkehr nach Kennwörtern
    Starten eines Keyloggers
    Herunterladen und Installieren einer aktualisierten Version von sich
    Installieren von Bot-Plugins für zusätzliche Funktionen.

    Der Wurm verbreitet sich auf Computer, die von bekannten Schwachstellen betroffen sind, auf denen Netzwerkdienste laufen, die durch einfache Kennwörter geschützt sind oder die mit häufigen Backdoortrojanern infiziert sind.


    W32/Agobot-OV fügt 127.0.0.1 (Loopback) Einträge zur Windows-HOSTS-Datei hinzu, um den Zugriff auf Sicherheits-Websites zu verhindern.


    Mehr Info: http://www.sophos.de/virusinfo/analyses/w32agobotov.html


    --------------------------------------------------------------------------------------------------------------------------
    W32/Forbot-DK


    W32/Forbot-DK ist ein Netzwerkwurm mit Backdoor-Funktionalität.


    W32/Forbot-DK verbreitet sich auf Computer, indem er die LSASS-Schwachstelle (MS04-011) ausnutzt.


    W32/Forbot-DK läuft kontinuierlich im Hintergrund und ermöglicht Backdoor-Zugriff auf den infizierten Computer.


    Mehr Info: http://www.sophos.de/virusinfo/analyses/w32forbotdk.html

    W32/Rbot-OT


    W32/Rbot-OT ist ein Wurm mit Backdoortrojaner-Funktionalität.


    W32/Rbot-OT verbindet sich mit einem IRC-Server und wartet auf Backdoor-Befehle.


    W32/Rbot-OT kann sich auf Computer im lokalen Netzwerk verbreiten, die durch einfache Kennwörter geschützt sind, und indem er zahlreiche Software-Schwachstellen ausnutzt.


    Die Antiviren-Produkte von Sophos erkennen diesen Wurm seit Version 3.86 als W32/Rbot-Fam und W32/Rbot-Gen, ohne dass ein Update erforderlich ist.


    Mehr Info: http://www.sophos.de/virusinfo/analyses/w32rbotot.html



    W32/Rbot- Hinweise für die Desinfektion


    Resolve ist der Name für eine Zusammenstellung von kleinen Sophos-Dienstprogrammen, die einfach herunterzuladen sind. Sie wurden entwickelt, um bestimmte Viren, Trojaner und Würmer zu entfernen und deren Schäden rückgängig zu machen. Sie beenden alle Virenprozesse und stellen Registrierungsschlüssel wieder her, die der Virus geändert hat. Vorhandene Infektionen können schnell und einfach sowohl auf einzelnen Arbeitsplatzrechnern als auch in Netzwerken mit zahlreichen Computern beseitigt werden.


    Windows 95/98/Me und Windows NT/2000/XP/2003


    W32/Rbot-R, W32/Rbot-DT, W32/Rbot-EK, W32/Rbot-ET, W32/Rbot-FH, W32/Rbot-FT, W32/Rbot-HD, W32/Rbot-HN, W32/Rbot-IC, W32/Rbot-IG, W32/Rbot-NA, und W32/Rbot-PR können mit den nachfolgend erläuterten Resolve Tools von Windows 95/98/Me- und von Windows NT/2000/XP/2003-Computern automatisch entfernt werden.


    Windows Disinfector


    RBOTGUI ist ein Disinfector für einzelne Windows-Computer.

    Öffnen Sie RBOTGUI.
    Starten Sie es.
    Klicken Sie dann auf GO.


    Wenn Sie mehrere Computer desinfizieren, laden Sie das Tool herunter, speichern Sie es auf Diskette und starten Sie es von dort.


    Nachdem Sie den Wurm entfernt haben, sollten Sie die Sicherheits-Bulletins und wo nötig die Microsoft-Patches MS04-011, MS03-039, MS03-007 und MS01-059. Aktualisieren Sie Einzelcomputer mit allen erforderlichen Sicherheits-Patches auf Windows update.


    Hinweis: Microsoft hat mehrere bekannte Probleme mit dem MS04-011 Update im Microsoft Knowledge Base Article 835732 dokumentiert. Lesen Sie diesen Artikel sorgfältig, bevor Sie das Update installieren. Sollten bei Ihnen die in dem Artikel erläuterten Probleme auftreten, wenden Sie sich bitte an den Microsoft-Support.


    Bei einer Infektion mit W32/Rbot-ET sollten Sie die HOSTS-Datei durch eine Sicherungskopie ersetzen oder die Datei in Notepad öffnen und alle Einträge entfernen, die in der Virenanalyse aufgeführt sind.


    Befehlszeilen Disinfector


    RBOTSFX.EXE ist ein selbst extrahierendes Archiv, das RBOTCLI enthält, ein Resolve Befehlszeilen Disinfector für die Verwendung in Windows-Netzwerken. Lesen Sie die Hinweise im Self-Extractor, um sich über die Anwendung des Programms zu informieren.


    Nachdem Sie den Wurm entfernt haben, sollten Sie die Sicherheits-Bulletins und wo nötig die Microsoft-Patches MS04-011, MS03-039, MS03-007 und MS01-059. Aktualisieren Sie Einzelcomputer mit allen erforderlichen Sicherheits-Patches auf Windows update.


    Hinweis: Microsoft hat mehrere bekannte Probleme mit dem MS04-011 Update im Microsoft Knowledge Base Article 835732 dokumentiert. Lesen Sie diesen Artikel sorgfältig, bevor Sie das Update installieren. Sollten bei Ihnen die in dem Artikel erläuterten Probleme auftreten, wenden Sie sich bitte an den Microsoft-Support.


    Bei einer Infektion mit W32/Rbot-ET sollten Sie die HOSTS-Datei durch eine Sicherungskopie ersetzen oder die Datei in Notepad öffnen und alle Einträge entfernen, die in der Virenanalyse aufgeführt sind.