Ein neuer E-Mail-Wurm geht um | Computerclub AUGE e.V.

###################################################

CERT-Bund -- Warn- und Informationsdienst

###################################################

Informationen zu Programmen mit Schadfunktionen

VIRINFO 04/03 vom 17.02.2004

Virus-Warnung - Virus-Beschreibung

Name: W32/Bagle.b@MM
Alias: W32.Alua@mm [Symantec],
WORM_BAGLE.B [Trend],
I-Worm.Bagle.B [Kaspersky]
Art: Wurm
Groesse des Anhangs: 11.264 Bytes
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Massenmailing,
Installation einer Backdoor
Spezielle Entfernung: -
bekannt seit: 17. Februar 2004

Beschreibung:

W32/Bagle.b@MM ist ein Massenmailer-Wurm, der sich ueber seine eigene
SMTP-Maschine versendet. Die Absender-Adresse wird dabei gefaelscht. Der
Wurm stoppt seine Verbreitung am 25. Februar 2004.

Eine infizierte E-Mail hat folgende Charakteristik:

Von:
Betreff: ID ... thanks

Nachricht:
Yours ID
--
Thank

Name des Anhangs: .exe
Groesse des Anhangs: 11.264 Bytes

Der Wurm sucht E-Mail-Adressen in Dateien mit den Endungen:

.WAB
.TXT
.HTM
.HTML

W32/Bagle.b@MM sendet keine infizierte E-Mail an folgende Domains:

hotmail.com
msn.com
microsoft.com
avp.com

Der Wurm installiert eine Hintertuer, welche auf infizierten Systemen
den TCP-Port 8866 oeffnet. Er versucht weiterhin, Informationen zu
infizierten Systemen an folgende Webseiten zu berichten:

Der Wurm kopiert sich im infizierten System in die Datei
%System%\AU.EXE.

Hinweis:

%System% ist eine Systemvariable, die bei verschiedenen
Windows-Versionen variiert. Beispiel: %System% enthaelt
C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows
NT/2000 und C:\Windows\System32 bei Windows XP.

Mit dem Registrierungs-Schluessel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunAu.exe
= "C:\%System%\AU.EXE"

wird W32/Bagle.b@MM beim Rechnerstart aktiviert.

Generelle Hinweise:

Pruefen Sie bei E-Mails auch von vermeintlich bekannten bzw.
vertrauenswuerdigen Absendern, ob der Text der Nachricht auch zum
Absender passt (englischer Text von deutschem Partner, zweifelhafter
Text oder fehlender Bezug zu konkreten Vorgaengen etc.) und ob die
Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand/Empfang von ausfuehrbaren Programmen
(Dateierweiterungen wie .COM, .EXE, .BAT, ...) oder anderer Dateien,
die Programmcode enthalten koennen (Dateierweiterungen wie .DO*; XL*,
PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert,
dass die Datei vom angegebenen Absender geschickt und nicht von einem
Virus verbreitet wird. Weiter sollten Sie eine Personal Firewall
betreiben, die Verbindungen auf den genannten Ports nicht zulaesst.

Aktuelle Signaturen von Viren-Schutzprogrammen erkennen den Wurm.
Installieren Sie diese umgehend.

Weitere Informationen finden Sie auf der Webseite des BSI unter:

Fragen richten Sie bitte an .
Virenmeldungen koennen Sie an senden.

Mit freundlichen Gruessen
Ihr Team CERT-Bund

-----------------------------------------------------------------
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund

Telefon: +49-228-9582-444 / FAX: +49-228-9582-427
/
-----------------------------------------------------------------

====================================================
HINWEIS:

Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
=====================================================

###############################################

CERT-Bund -- Warn- und Informationsdienst

###############################################

Informationen zu Programmen mit Schadfunktionen

VIRINFO 04/04 vom 18.02.2004

Virus-Warnung - Virus-Beschreibung

Name: W32.Netsky.B@mm
Alias: W32/Netsky.b@MM [McAfee]
I-Worm.Moodown.b [Kaspersky]
WORM_NETSKY.B [Trend Micro]
W32/Netsky.B.worm [Panda]
Moodown.B [F-Secure]
Art: Wurm
Groesse des Anhangs: 22.016 Bytes
Betriebssystem / Software: Microsoft Windows
Art der Verbreitung: Massenmail
Verbreitungsgrad: mittel
Risiko bei Aktivierung: mittel
Schadensfunktion: Massenmailing
Spezielle Entfernung: -
Bekannt seit: 18.02.2004

Beschreibung:

W32.Netsky.B@mm ist ein Massenmailing-Wurm. Er verbreitet sich per
E-Mail-Nachricht und ueber freigegebene Laufwerke.

Eine infizierte E-Mail hat folgende Charakteristik:

Betreff:
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown

Nachricht:
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool

Name des Anhangs:
document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc

Der Anhang hat zwei Erweiterungen. Erstens:
.txt
.rtf
.doc
.htm

Die zweite Erweiterung lautet:
.exe
.scr
.com
.pif

Groesse des Anhangs: 22.016 Bytes

Der Wurm sucht E-Mail-Adressen in Dateien mit den Endungen:
.msg, .oft, .sht, .dbx, .tbb, .adb, .doc,
.wab, .asp, .uin, .rtf, .vbs, .html, .htm,
.pl, .php, .txt, .eml

Der Wurm kopiert sich im infizierten System unter

%windir%\services.exe

Mit dem Registrierungs-Schluessel

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"service" = "%windir%\services.exe -serv"

wird Netsky.B beim Rechnerstart aktiviert.

Netsky.B kopiert sich mit folgenden Dateinamen in Netzfreigaben, die die
Worte "Share" oder "Sharing" enthalten:

doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe

Weiterhin werden von dem Wurm mehrere Registrierungsschluessel
geloescht.

Weitere Informationen finden Sie auf der Webseite des BSI unter:

Generelle Hinweise:

Virendefinitionen ab dem 18.02.04 erkennen den Wurm. Installieren Sie
diese umgehend.

Fragen richten Sie bitte an .
Virenmeldungen koennen Sie an senden.

Mit freundlichen Gruessen
Ihr Team CERT-Bund

---------------------------------------------------------------
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund

Telefon: +49-228-9582-444 / FAX: +49-228-9582-427
/
---------------------------------------------------------------

====================================================
HINWEIS: