Wochenbericht über Viren und andere Eindringlinge der vergangenen Woche
Duisburg 22. Oktober 2004
Folgende Störenfriede machten in der letzten Woche besonders auf sich aufmerksam:
1. Constructor/EMFTrojan.C
Constructor/EMFTrojan.C ist ein Programm, dass die Software-Verwundbarkeit von Enhanced Metafile (EMF) Bild Dateien ausnutzt. (Microsoft berichtete im MS04-032 Bulletin)
Wenn seine Datei geöffnet wird können folgende Aktionen ausgeführt werden:
- Er öffnet einen Port durch den Informationen zu einem anderen Rechner gesendet werden können
- Lädt eine Datei von einer bestimmten URL herunter und startet diese
Bei Windows 2003/XP/2000 Systemen ist es ratsam die Microsoft Seite zu besuchen und sich den entsprechenden Patch herunter zu laden: Graphics Rendering Engine vulnerability
2. Netsky.AH
3. Netsky.AI
Dieser Wurm versendet sich über seine eigene SMTP Engine an Adressen, die er aus Dateien mit weniger als 10,000,000 Bytes zieht und die folgenden Endungen haben: DBX, WAB, MBX, EML, MDB, TBB oder DAT. Der Versand beginnt 10 Minuten nach der Ausführung des Codes zwischen dem 20. und 25. Oktober. Die Betreffzeile lautet “Mail Delivery failure -”
Der Nachrichtentext lautet wie folgt:
“If the message will not displayed automatically, you can check original in attached message.txt
Failed message also saved at:
ww..com/ inbox/ security/ read.asp?sessionid-3672 (check attached instructions)
+++ Attachment: No Virus found
+++ MC-Afee AntiVirus”
Sein Code ist in Visual C++ v6.0 geschrieben und durch UPX vl.20. komprimiert 30,752 Bytes groß.
4. Bagz.E
Dieser Wurm beendet Prozesse im System, unter anderem die von Antivirenprogrammen, so dass er einen stark verwundbaren Rechner zurücklässt. Er verändert die Host Datei und sperrt so einige Webseiten von Antivirenherstellern, zusätzlich erstellt er mehrere Einträge in der Windows-Registry.
Die Betreffzeile der e-Mail kann z.B. folgende sein:
Administrator Allert!
ASAP Amirecans
attach attachments
best regards Read this
Der eigentliche Nachrichtentext sieht z.B. wie folgt aus:
Hi
Sorry, I forgot to send an important
document to you in that last email. I had an important phone call.
Please checkout attached doc file when you have a moment.
Best Regards
Hi
I was in a rush and I forgot to attach an important document. Please see attached doc file.
Best Regards
......
5. Mydoom.AD
Mydoom.AD fälscht die Adresse des Absenders durch folgende Namen:
Alex, Alexander, Andrew, Anthony, Barry, Bernard, Bill, Brian, Calvin, Carl, Charles, Clifford, Daniel, David, Dennis, Donald, Douglas, Edward, Eric, Francisco, Frank, Gary, George, Gregory, Harold, Henry, Jason, Jay, Jeffrey, Jerry, Jim, John, Jon, Jose, Joseph, James, Joshua, Kenneth, Kevin, Larry, Leon, Leroy, Lloyd, Marcus, Mario, Mark, Matthew, Michael, Micheal, Miguel, Oscar, Patrick, Paul, Peter, Randall, Raymond, Richard, Ricky, Robert, Ronald, Ronnie, Scott, Stephen, Steven, Theodore, Thomas, Timothy, Tom, Tommy, Troy, Walter and William.
Die e-Mail kann unter anderem folgende Betreffzeilen haben:
Announcement Details Document
Fw:Document Fw:Important Fw:Information
Fw:Notification Fw:Warning Important
Information Information Notification
Re:Details Re:Document Re:Important
Re:Information Re:Notification Re:Warning
read now! Warning
Über seine eigene SMTP Engine versendet er sich an Adressen, die er in Dateien mit folgenden Endungen sucht: ADB, ASP, CFG, CGI, DBX, EML, HTM, HTML, JSP, MBX, MDX, MSG, PHP, PL, SHT, TBB, TXT, UIN, VBS, WAB, WSH, XLS und XML.
Im Anhang ist ein JPG Bild eingefügt, dass zu einem anderen Wurm führt, der von Panda Software als W32/Scranor.A erkannt wird.
6. Scranor.A
Dieser Virus verbreitet Kopien von sich selbst, dabei infiziert er keine anderen Dateien, sondern hat sich den Absturz von einzelnen Rechnern und Netzwerken zur Aufgabe gemacht. Seine Verbreitung findet über P2P Systeme statt, er ist 12800 Bytes groß.
Weitere Informationen erhalten Sie unter: http://www.pandasoftware.com/...
Über die Arbeit von PandaLabs
Sobald das Technik-Team eine verdächtige Datei erhält wird diese analysiert. (Zerlegung, Macro Scan, Code Analyse…) Falls die Datei tatsächlich einen Virus enthält werden die Desinfektions und Erkennungsdaten direct in Form eines neues Updates an die Kunden weiter gegeben.
Duisburg 22. Oktober 2004
Folgende Störenfriede machten in der letzten Woche besonders auf sich aufmerksam:
1. Constructor/EMFTrojan.C
Constructor/EMFTrojan.C ist ein Programm, dass die Software-Verwundbarkeit von Enhanced Metafile (EMF) Bild Dateien ausnutzt. (Microsoft berichtete im MS04-032 Bulletin)
Wenn seine Datei geöffnet wird können folgende Aktionen ausgeführt werden:
- Er öffnet einen Port durch den Informationen zu einem anderen Rechner gesendet werden können
- Lädt eine Datei von einer bestimmten URL herunter und startet diese
Bei Windows 2003/XP/2000 Systemen ist es ratsam die Microsoft Seite zu besuchen und sich den entsprechenden Patch herunter zu laden: Graphics Rendering Engine vulnerability
2. Netsky.AH
3. Netsky.AI
Dieser Wurm versendet sich über seine eigene SMTP Engine an Adressen, die er aus Dateien mit weniger als 10,000,000 Bytes zieht und die folgenden Endungen haben: DBX, WAB, MBX, EML, MDB, TBB oder DAT. Der Versand beginnt 10 Minuten nach der Ausführung des Codes zwischen dem 20. und 25. Oktober. Die Betreffzeile lautet “Mail Delivery failure -”
Der Nachrichtentext lautet wie folgt:
“If the message will not displayed automatically, you can check original in attached message.txt
Failed message also saved at:
ww..com/ inbox/ security/ read.asp?sessionid-3672 (check attached instructions)
+++ Attachment: No Virus found
+++ MC-Afee AntiVirus”
Sein Code ist in Visual C++ v6.0 geschrieben und durch UPX vl.20. komprimiert 30,752 Bytes groß.
4. Bagz.E
Dieser Wurm beendet Prozesse im System, unter anderem die von Antivirenprogrammen, so dass er einen stark verwundbaren Rechner zurücklässt. Er verändert die Host Datei und sperrt so einige Webseiten von Antivirenherstellern, zusätzlich erstellt er mehrere Einträge in der Windows-Registry.
Die Betreffzeile der e-Mail kann z.B. folgende sein:
Administrator Allert!
ASAP Amirecans
attach attachments
best regards Read this
Der eigentliche Nachrichtentext sieht z.B. wie folgt aus:
Hi
Sorry, I forgot to send an important
document to you in that last email. I had an important phone call.
Please checkout attached doc file when you have a moment.
Best Regards
Hi
I was in a rush and I forgot to attach an important document. Please see attached doc file.
Best Regards
......
5. Mydoom.AD
Mydoom.AD fälscht die Adresse des Absenders durch folgende Namen:
Alex, Alexander, Andrew, Anthony, Barry, Bernard, Bill, Brian, Calvin, Carl, Charles, Clifford, Daniel, David, Dennis, Donald, Douglas, Edward, Eric, Francisco, Frank, Gary, George, Gregory, Harold, Henry, Jason, Jay, Jeffrey, Jerry, Jim, John, Jon, Jose, Joseph, James, Joshua, Kenneth, Kevin, Larry, Leon, Leroy, Lloyd, Marcus, Mario, Mark, Matthew, Michael, Micheal, Miguel, Oscar, Patrick, Paul, Peter, Randall, Raymond, Richard, Ricky, Robert, Ronald, Ronnie, Scott, Stephen, Steven, Theodore, Thomas, Timothy, Tom, Tommy, Troy, Walter and William.
Die e-Mail kann unter anderem folgende Betreffzeilen haben:
Announcement Details Document
Fw:Document Fw:Important Fw:Information
Fw:Notification Fw:Warning Important
Information Information Notification
Re:Details Re:Document Re:Important
Re:Information Re:Notification Re:Warning
read now! Warning
Über seine eigene SMTP Engine versendet er sich an Adressen, die er in Dateien mit folgenden Endungen sucht: ADB, ASP, CFG, CGI, DBX, EML, HTM, HTML, JSP, MBX, MDX, MSG, PHP, PL, SHT, TBB, TXT, UIN, VBS, WAB, WSH, XLS und XML.
Im Anhang ist ein JPG Bild eingefügt, dass zu einem anderen Wurm führt, der von Panda Software als W32/Scranor.A erkannt wird.
6. Scranor.A
Dieser Virus verbreitet Kopien von sich selbst, dabei infiziert er keine anderen Dateien, sondern hat sich den Absturz von einzelnen Rechnern und Netzwerken zur Aufgabe gemacht. Seine Verbreitung findet über P2P Systeme statt, er ist 12800 Bytes groß.
Weitere Informationen erhalten Sie unter: http://www.pandasoftware.com/...
Über die Arbeit von PandaLabs
Sobald das Technik-Team eine verdächtige Datei erhält wird diese analysiert. (Zerlegung, Macro Scan, Code Analyse…) Falls die Datei tatsächlich einen Virus enthält werden die Desinfektions und Erkennungsdaten direct in Form eines neues Updates an die Kunden weiter gegeben.
