Drucken

Bitte loggen sie sich ein oder registrieren sie sich.
1 Stunde 1 Tag 1 Woche 1 Monat Immer
Einloggen mit Benutzername, Passwort und Sitzungslänge

[Herr_Rossi]

Das habe ich heute von nem Kunden erhalten:





Name: W32.Dumaru@mm
     Alias:
    W32/Dumaru@MM [McAfee], Dumaru [FSecure],
     PE.DUMARU.A[TrendMicro]
   
     Art:
    Wurm
   
     Größe des Anhangs: 9.216 Bytes (upx gepackt)
     Betriebssystem:
    Windows 95, 98, Me, NT, 2000, XP
   
     Art der Verbreitung: Massenmailing
     Verbreitung:
    mittel
     Risiko:
    mittel
   
     Schadensfunktion:
    Massenmailing; enthält Trojanisches Pferd, welches Passwörter ausspioniert  
     Spezielle Entfernung: Tool
     bekannt seit: 16. August 2003

Beschreibung:

W32.Dumaru@mm ist ein Internet-Wurm, der sich mit einer eigenen SMTP-Maschine über E-Mails verbreitet. Er benutzt dazu alle E-Mail-Adressen, die er auf dem Rechner in Dateien mit der Endung

*.htm
*.wab
*.html
*.dbx
*.tbb
*.abd

findet.

Die infizierte E-Mail hat folgende Charakteristik:

Von: "Microsoft" <security@microsoft.com>

Betreff: Use this Patch immidiatly !

Nachrichtentext:

Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!


Anhang: patch.exe

Nach der Aktivierung des Anhangs wird in das Windows-Verzeichnis (Standard-Einstellung: Windows 95/98/Me/XP: C:\Windows; Windows NT/2000: C:\Winnt) die Datei

dllreg.exe

und in das System-Verzeichnis (Standard-Einstellung: Windows 95/98/Me C:\Windows\System; Windows NT/2000: C:\Winnt\System32; Windows XP: C:\Windows\System32) werden folgende Dateien

load32.exe
vxdmgr32.exe

kopiert.

Im Windows-Verzeichnis wird die Datei


windrv.exe (8192 bytes)

erstellt. Dies ist ein Trojanisches Pferd. Es verbindet sich mit einem IRC-Server und wartet auf Kommandos von außen.

Im Windows-Verzeichnis wird eine Log-Datei mit dem Namen

winload.log

erstellt. In dieser werden die gestohlenen E-Mail-Adressen gesammelt.

In der Registrierung und in den Dateien win.ini bzw. system.ini werden Eintragungen vorgenommen, damit der Wurm bei einem Neustart des Rechners mitgestartet wird.

Entfernungs-Programm
Von Symantec wird ein spezielles Entfernungs-Programm  für W32.Dumaru@mm zum kostenlosen Download bereitgestellt.
Das Tool entfernt nicht die Datei winload.log. Diese muss per Hand entfernt werden.

Generelle Hinweise:

Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, daß die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

Microsoft versendet grundsätzlich keinen Patch unaufgefordert per E-Mail.

(Erstellt: 19.08.2003)

[Herr_Rossi]

Und das hier auch noch:




Name: W32.Welchia.Worm
     Alias:
    W32/Nachi.worm [McAfee]
     WORM_MSBLAST.D [Trend]
     Welchi [F-Secure]
   
     Art:
    Wurm
   
     Größe des Anhangs: 10.240 Bytes (aspacked)
     Betriebssystem: Windows 2000/XP
   
     Art der Verbreitung: Netzwerk (TCP 135, TCP 80 bei IIS 5.0)
     Verbreitung:
    hoch
     Risiko:
    mittel
   
     Schadensfunktion:
    Verbreitung über Port 135, Port 80 bei IIS 5.0
     Versucht Microsoft-Patch gegen DCOM-RPC-Schwachstelle zu installieren
     Entfernt Blaster-Wurm, sofern vorhanden
     Wegen fehlerhaftem Code möglicherweise Störungen bei der Nutzung der Internet-Verbindung
     Spezielle Entfernung: nein
     bekannt seit: 18. August 2003

Beschreibung:

W32.Welchia.Worm ist ein Wurm, der sich über das Netzwerk verbreitet.
Er nutzt einerseits dazu die auch schon vom Blaster-Wurm verwendetete DCOM RPC Schwachstelle aus. Dabei handelt es sich um einen nicht geprüften Puffer im "Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) Interface". Durch Überschreiben der Puffergrenze kann beliebiger Programmcode ausgeführt werden. Diese Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP-Systemen.
Informationen zu dieser Schwäche finden Sie im Microsoft Security Bulletin MS03-026 . Eine deutsche Beschreibung der Schwachstelle finden Sie auf dieser Microsoft-Seite  .

Der zweite Weg, auf dem sich der Wurm verbreitet, ist über die WebDav-Schwachstelle. Hierbei handelt es sich eigentlich um einen nicht geprüften Puffer in der dynamischen Bibliothek ntdll.dll. Durch Überschreiben der Puffergrenze kann beliebiger Programmcode ausgeführt werden. Diese Schwachstelle wird hauptsächlich bei Rechnern mit nichtgepatchtem IIS 5.0 (Internet Information Server 5.0 auf Windows NT-, 2000-, XP-Rechnern) ausgenutzt.
Informationen zu dieser Schwäche finden Sie im Microsoft Security Bulletin MS03-007 . Eine deutsche Beschreibung der Schwachstelle finden Sie auf dieser Microsoft-Seite  .


Windows 95, 98, Me und Windows NT sind nicht betroffen.


W32.Welchia.Worm sucht über TCP Port 135 und Port 80 einen angreifbaren Rechner. Er versucht, den Microsoft-Patch gegen die DCOM RPC Schwachstelle zu installieren und den Blaster-Wurm zu entfernen.

Dafür kopiert er sich selbst per TFTP in das Verzeichnis C:\Windows\System32 oder C:\WINNT\System32 in die Datei dllhost.exe.
Er kopiert die Datei tftpd.exe in ein neues Verzeichnis unter dem Namen der Systemdatei svchost.exe und installiert zwei neue Dienste mit den Namen "Network Connections Sharing" und "Wins Client", um den Patch zu laden, den Blaster-Wurm zu entfernen und sich selbst weiterzuverbreiten.

Wenn der Patch installiert wurde, startet der Rechner sich neu.

Möglicherweise wird versucht, den Patch in einer falschen Sprache zu installieren. Auch einige bisher nicht verifizierte Eigenarten werden möglicherweise durch fehlerhaften Code des Wurm ausgelöst. Dazu zählen auch einige Störungen, die bei laufender Internet-Verbindung auftreten.

Der Wurm enthält den nicht angezeigten Text:

=========== I love my wife & baby ~~~ Welcome Chian~~~
Notice: 2004 will remove myself:)~~ sorry zhongli~~~====
======= wins


Im Jahr 2004 wird der Wurm deaktiviert und entfernt sich selbst vom Rechner.

Hinweis:
Da sich der Wurm nicht über E-Mail-Nachrichten versendet, kann er an Mail-Gateways nicht abgefangen werden.
Administratoren sollten (wenn möglich) auf der Firewall die Ports

69 UDP
135 TCP
135 UDP
139 TCP
139 UDP
445 TCP
445 UDP
4444 TCP
sperren.

[Marty_P]

Hab auch eine Mail deswegen bekommen. Zur Zeit nervt das.