| Name: | W32.Novarg.A@mm |
| Alias: | W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend] |
| Art: | Wurm |
| Größe des Anhangs: | 22.528 Bytes |
| Betriebssystem: | Microsoft Windows |
| Art der Verbreitung: | Massenmailing |
| Verbreitung: | hoch |
| Risiko: | mittel-hoch |
| Schadensfunktion: | Massenmailing, Installation eines Backdoors, DOS Angriff gegen www.sco.com |
| Spezielle Entfernung: | Tool |
| bekannt seit: | 26. Januar 2004 |
Beschreibung:
W32.Novarg.A@mm ist ein Internet-Wurm, der sich in Dateien mit den Endungen .bat, .cmd, .exe, pif, .scr und .zip versendet. Zusätzlich verbreitet er sich über KaZaA.
Bei der Infektion des Systems installiert der Wurm ein Backdoor-Programm, das die TCP-Ports 3127 bis 3198 öffnet. Damit hat ein Angreifer die Möglichkeit, den infizierten Rechner fernzusteueren. Außerdem kann dieses Backdoor weitere Dateien aus dem Internet laden.
Am 1. Februar startet der Wurm eine Denial of Sevice (DOS) Attacke gegen eine bestimmte Internetseite. Ab dem 12. Februar verbreitet er sich nicht weiter.
Der Wurm erzeugt die Datei shimgapi.dll im Systemverzeichnis
von Windows.
Dieses Programm öffnet die TCP-Ports
3127 bis 3198 und arbeitet als Proxy-Server.
Durch den Registrierungs-Schlüssel
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
"(Default)" = %SysDir%\shimgapi.dll
wird die Datei gestartet, wenn Explorer.exe geöffnet wird.
Die Datei taskmon.exe wird im Windows-Systemverzeichnis erzeugt. Existiert diese Datei schon, wird sie durch eine Kopie des Wurms ersetzt.
Diese startet automatisch durch den Registrierungs-Schlüssel
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
oder
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
mit dem Wert
TaskMon = %System%\taskmon.exe
Weiterhin wird die Datei message im Temp-Verzeichnis angelegt.
In Dateien mit den Endungen
.htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt
werden E-Mail-Adressen zur weiteren Verbreitung gesucht. Dabei werden keine Adressen aus der Top-Level-Domain .edu verwendet. Novarg.A verwendet zur Verbreitung seine eigene SMTP-Maschine.
Die E-Mail hat folgende Charakteristik:
Von: <Adresse gefälscht>
Betreff: <eine der folgenden>
test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status, Error
Nachricht:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary
attachment.
The message cannot be represented in 7-bit ASCII encoding and has
been sent as a binary attachment.
Name des Anhangs: <einer der folgenden>
document, readme, doc, text, file, data, test, message, body
Datei-Endung
pif, scr, exe, cmd, bat, zip,
Größe des Anhangs: 22.528 Bytes
Novarg.A kopiert sich ausserdem in das Download-Verzeichnis von KaZaA, als Datei
winamp5, icq2004-final, activation_crack, strip-girl-2.0bdcom_patches, rootkitXP, office_crack, nuke2004
mit der Dateiendung
pif, scr, bat, exe
Hinweise zur Entfernung des Wurms
Wenn Ihr Betriebssystem Windows ME oder XP ist, müssen Sie vor der Entfernung die Systemwiederherstellung deaktivieren, und den Computer im Abgesicherten Modus starten.
Den Wurm auf einem infizierten Rechner lokalisieren und entfernen können Sie über eines der kostenlosen Entfernungstools von
NAI (stinger.exe): Direkt-Download
Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.
Also ACHTUNG beim Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
(Erstellt: 27.01.2004)
W32.Blaster.Worm ist ein Wurm, der sich über das Netzwerk verbreitet.
Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Dabei handelt es sich
um einen nicht geprüften Puffer im "Windows Distributed Component
Object Model (DCOM) Remote Procedure Call (RPC) Interface". Durch Überschreiben
der Puffergrenze kann beliebiger Programmcode ausgeführt werden. Diese
Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP-Systemen.
Informationen zu dieser Schwäche finden Sie im Microsoft
Security Bulletin MS03-026 . Eine deutsche Beschreibung der Schwachstelle
finden Sie
Windows 98 und Windows Me sind von dem Wurm nicht betroffen.
W32.Blaster.Worm sucht über TCP Port 135 einen angreifbaren Rechner. Dieser Rechner wird dazu gebracht, das Programm des Wurms (MSBLAST.EXE) per TFTP in das Verzeichnis C:\Windows\System32 oder C:\WINNT\System32 zu laden. Diese Datei lädt der Rechner vom bereits infizierten System. Dazu simuliert der Wurm auf dem infizierten System einen TFTP-Server.
Nach dem Download wird die Kopie des Wurms auf dem neuen Rechner ausgeführt. Es beginnt ein neuer Infektionszyklus.
Der Wurm selbst ist UPX-gepackt. Er enthält einen Text, der jedoch nicht angezeigt wird:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
Zum automatischen Start erzeugt W32.Blaster.Worm den Registrierschlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
mit dem Wert
"windows auto update" = MSBLAST.EXE
Bei der Suche nach angreifbaren Rechnern werden zunächst die lokalen Subnetze durchsucht. Danach werden zufällige IP-Adressen zur Suche verwendet.
Weiterhin führt der W32.Blaster.Worm eine sog. DDoS-Attacke (Distributed
Denial of Service) gegen einen Microsoft-Server (windowsupdate.com) durch ;
dabei wird versucht, diesen Server mit so vielen Anfragen zu überfluten,
dass er nicht mehr antworten kann.
Diese Attacke wird in den Monaten Januar bis August vom 16. bis zum Ende des
Monats, in den Monaten September bis Dezember fortlaufend (täglich) durchgeführt.
Hinweis:
Da sich der Wurm nicht über E-Mail-Nachrichten versendet, kann er an Mail-Gateways
nicht abgefangen werden.
Administratoren sollten (wenn möglich) auf der Firewall die Ports sperren
Aktuelle Viren-Signaturen von Schutzsoftware erkennen die Datei MSBLAST.EXE während des Downloads.
Auch Rechner von Privatanwendern sind gefährdet! Die entsprechenden Funktionen und Schwachstellen sind in allen Versionen von Windows NT/2000/XP enthalten.
Windows 98 und Windows Me sind von dem Wurm nicht betroffen!
Hinweise zur Entfernung des Wurms
Der Zugang zum Internet wird insbesondere bei Windows XP-Rechnern immer wieder
durch einen Neustart unterbrochen.
Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint (nicht
vorher !), dass der Rechner heruntergefahren werden muß, klickt man im
Startmenü auf Ausführen... In der dann angezeigten Eingabezeile
ist der Befehl "shutdown -a" einzugeben und mit OK zu
bestätigt.
1. Schließen der Sicherheitslücke des Betriebssystems
Microsoft stellt einen Hotfix (Sicherheits-Patch) für die Sicherheitslücke
bereit. Informationen dazu und das Hotfix-Programm finden Sie bei Microsoft
.
2. Suchen und Entfernen des Wurms
Laden Sie eines der speziellen Entfernungstools von Symantec
. Mit diesen Programmen können Sie den Rechner nach dem Wurm durchsuchen
und mögiche Infektionen entfernen.
3. Setzen Sie ein aktuelles Viren-Schutzprogramm ein.
4. Zusätzlichen Schutz bietet eine Firewall, die derartige Angriffe verhindern kann. Hierbei muß eine Regel definiert werden, die den Port 135 TCP und 445 TCP (incoming) blockiert.
Entfernungs-Programm
Von Symantec wird ein spezielles Entfernungs-Programm
für W32.Blaster.Worm zum kostenlosen Download bereitgestellt.
Auch von NAI gibt es ein entsprechendes Tool
. Beachten Sie, dass der Wurm hier W32/Lovsan.worm heißt.
Microsoft Sicherheits-Patch
Den Microsoft Sicherheits-Patch können Sie sich von der Microsoft-Seite
herunterladen. Das geladene Programm führen Sie auf dem unsicheren Rechner
aus. Folgen Sie den Anweisungen des Setup-Assistenten. Nach der Installation
muß der Rechner neu gestartet werden.
Ob der Hotfix auf Ihrem Rechner installiert ist können Sie in:
Start - Systemsteuerung - Software kontrollieren.
Wenn dort der Eintrag Windows XP Hotfix - KB823980 auftaucht, ist der
Hotfix installiert.
(Erstellt: 10.08.2003 )
|
Win 98, ME, 2000, Xp
|
Win 2000 Professional
|
Windows Xp
|
|
|
W32Blaster
|
|||
|
Stinger V1.9.7
|
Diese version von StingerV1.9.7 beinhaltet folgende Viren stand 26 Januar, 2004
| BackDoor-AQJ | Bat/Mumu.worm | Exploit-DcomRpc | W32/Yaha@MM | W32/SirCam@MM |
| IPCScan | IRC/Flood.ap | IRC/Flood.bi | W32/Swen@MM | W32/Sdbot.worm.gen |
| IRC/Flood.cd | NTServiceLoader | PWS-Narod | W32/SQLSlammer.worm | W32/Sober@MM |
| PWS-Sincom | W32/Bugbear@MM | W32/Deborm.worm.gen | W32/Sobig | W32/MyDoom@MM |
| W32/Dumaru@MM | W32/Elkern.cav | W32/Fizzer.gen@MM | W32/Nachi.worm | W32/Mimail@MM |
| W32/FunLove | W32/Klez | W32/Lirva | W32/Nimda | W32/Pate |
| W32/Lovgate | W32/Lovsan.worm | W32/MoFei.worm | W32/Mumu.b.worm |
Dailer Die sich unaufgefordert im System einnisten sind der Alptraum. Dabei ist es leichter als mann Denkt dieses zu verhindern ?
Im Ordner C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Connections\Pbk befindet sich die Rasphone.pbk
![\includegraphics[width=\textwidth]{adrclass.eps}](Bilder/Rasphone.jpg)
Nun die Eigenschaften von rasphone.pbk aufrufen ( rasphone rechter Mausklick ), dann Sicherheitseinstellungen und dort Schreiben Verweigern setzen.
![\includegraphics[width=\textwidth]{adrclass.eps}](Bilder/Ras-Eigen.jpg)
Mit OK bestätigen.
![\includegraphics[width=\textwidth]{adrclass.eps}](Bilder/Meldund.jpg)
Mit Ja bestätigen.
Ab jetzt können keine neuen DFÜ verbindungen mehr hinzugefügt
oder geändert werden. Sollte es dennoch jemand versuchen
wird eine Fehlermeldung gezeigt.
![\includegraphics[width=\textwidth]{adrclass.eps}](Bilder/Rasmeldung.jpg)
Um diesen Schutz zu entfernen ?
Jeder wieder auf Vollzugriff setzen.