Virus

Dieses Thema im Forum "Sicherheit" wurde erstellt von Miezkater, 29. Juni 2002.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Miezkater

    Miezkater Byte

    Registriert seit:
    2. März 2001
    Beiträge:
    32
    Hallo und guten Morgen!

    Seit gestern bekomme ich Mails die der NAV 2000 mit "Alert" anmosert.
    Er findet das Kerlchen : W32KlezH@mm

    Habe nun im Forum , aber auch woanders gesucht, aber speziell nichts auf deutsch gefunden, was das böse Wesen noch so anstellt.

    Außer die nervigen Mails! Putzt er die Platte, das BIOS am Tage X.

    Kann man rausbekommmen, welchen Rechner es erwischt hat, indem man eine geänderte Mailadresse im Adressbuch generiet?

    Hier im Forum, wo ich viel schon Hilfe ( meist hardware ) bekommen habe, hoffe ich wieder auf das Wissen der User!

    danke im Vorraus........Bernd
     
  2. Miezkater

    Miezkater Byte

    Registriert seit:
    2. März 2001
    Beiträge:
    32
    Danke auch Dir, das sind wirklich brauchbare Seiten!

    Vor allem, wenn man kaum Englisch kann!

    Toll!
     
  3. Freg

    Freg Byte

    Registriert seit:
    2. Dezember 2001
    Beiträge:
    95
    hi,

    also wenn du nächste mal infos suchst dann schau mal bei http://www.trojaner-info.de/ oder bei http://www.virus-aktuell.de/ dort findet man eigentlich immer die nötigen Infos dazu und meißt wird auch beschrieben wie man die dinger wieder los wird.

    bye
     
  4. Miezkater

    Miezkater Byte

    Registriert seit:
    2. März 2001
    Beiträge:
    32
    Klasse!

    Das ging ja wieder schnell!

    Vielen Dank für die ausführliche Beschreibung!

    tschüß......bernd
     
  5. Lumbi

    Lumbi Kbyte

    Registriert seit:
    18. Januar 2001
    Beiträge:
    433
    Hallo,

    ich habe da folgendes gefunden:

    Wird WORM_KLEZ.E ausgeführt, dekodiert er seine Daten in den Speicher. Danach kopiert er sich in eine WINK*.EXE im Systemverzeichnis, wobei * für eine zufällige Anzahl von Zeichen steht.

    Er erstellt folgenden Registry-Eintrag, mit dem er bei jedem Systemneustart aktiv werden kann:
    HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/
    CurrentVersion/Run, Wink*, "wink*.exe

    Ähnlich dem WORM_KLEZ.A besitzt er verschiedene Verbreitungs- und Schadteilmöglichkeiten:

    Plazieren des PE_ELKERN.B:

    PE_ELKERN.B schreibt sich immer wieder in die Datei WQK.EXE in das Systemverzeichnis. Außerdem werden kontinierlich folgende Registry-Einträge vorgenommen:

    Auf WIN 9x Systemen schreibt sich PE_ELKERN.B in die Datei WQK.EXE in das Systemverzeichnis und erstellt den Registry-Eintrag:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
    CurrentVersionRun, WQK = ô%system%wqk.exeö

    Auf WIN 2000 Systemen schreibt er sich in die WQK.DLL und erstellt den Registry-Eintrag:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NT
    CurrentVersionWindows, AppInit_DLLs = Wqk.dll

    Beide haben als Attribute: hidden, system sowie read-only. Diese Dateien werden von der TREND MICRO Produktpalette als PE_ELKERN.B detektiert.

    Infektion via Netzwerk:

    Über freigegebene Verzeichnisse mit Lese/Schreibzugriff kann eine Verbreitung stattfinden. Dazu scannt der Computerwurm das gesamte Firmennetzwerk nach diesen Verzeichnissen, in die er Kopien von sich mit einer der folgenden Extensionen anlegt:

    EXE
    PIF
    COM
    BAT
    SCR
    RAR
    Manchmal wird auch eine Doppelextension benutzt, deren erste eine aus der folgenden Liste ist:

    MP8
    EXE
    SCR
    PIF
    BAT
    TXT
    HTM
    HTML
    WAB
    DOC
    XLS
    CPP
    C
    PAS
    MPQ
    MPEG
    BAK
    MP3
    Die zweite wird dann aus diesen gewählt:

    EXE
    PIF
    COM
    BAT
    SCR
    RAR
    eMail-Verbreitung:

    Zur Verbreitung benutzt er einen SMTP-Server, den er aus dem Domänen-Namen der eMail-Adresse des Absenders erstellt. Wenn z.B. der Absender any_user@somewhere.com lautet, dann benutzt er smtp.somewhere.com zum versenden der eMail. Er schickt SMTP-Befehle an diesen SMTP-Server um die eMail zu erstellen und zu versenden.

    Zur Empfänger-Adressen-Gewinnung gibt es verschiedene Möglichkeiten:

    Windows Adressverzeichnis

    Extraktion aus folgenden Dateien des infizierten Systems: MP8, EXE, SCR, PIF, BAT, TXT, HTM, HTML, WAB, DOC,.XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK und MP3. Daraus werden die Empfangsadressen generiert.
    Die Absendeadresse wird aus einer im Wurm enthaltenen Liste gewählt:

    pw246@columbia.edu
    queen@helix.com.hk
    yaya@wfc.com.tw
    atoz@2911.net
    anti@helix.com.hk
    graph@helix.com.hk
    street@verizon.net
    sani@2911.net
    santurn@verizon.net
    andy@verizon.net
    little@hitel.net
    gigi@helix.com.hk
    bet@helix.com.hk
    lily@88win.com
    sun@verizon.net
    linda@verizon.net
    raise@wfc.com.tw
    rainrainman@hongkong.com
    karala@hongkong.com
    sammychen@wfc.com.tw
    flywind@wfc.com.tw
    suck@wfc.com.tw
    urlove@wfc.com.tw
    utu@88win.com
    cheu@2911.net
    xyz@2911.net
    pet@2911.net
    girl@edirect168.com
    littlecat@hongkong.com
    panshugang@chinese.com
    pipti@21cn.com
    certpass@21cn.com
    powerhero@263.net
    CR7269CH@terra.es
    RUBENSOTOAGUI@terra.es
    ACAMDR@terra.es
    ROSANAMOLTO@terra.es
    MANUEL23@terra.es
    christian_soto@terra.es
    carlos_nuevo@terra.es
    Die Betreffzeile der eMail wird aus einer Liste ausgewählt:

    · how are you
    · let s be friends
    · darling
    · don t drink too much
    · your password
    · honey
    · some questions
    · please try again
    · welcome to my hometown
    · the Garden of Eden
    · introduction on ADSL
    · meeting notice
    · questionnaire
    · congratulations
    · japanese girl VS playboy
    · look,my beautiful girl friend
    · eager to see you
    · spice girls vocal concert
    · japanese lass sexy pictures

    Der Text im entschlüsselten Wurm:

    Win32 Klez V2.0 & Win32 Elkern V1.1, (There nickname is Twin Virus *^__^*
    Copyright, made in Asia, announcement:
    1. I will try my best to protect the user from vicious virus, Funlove,Sircam,Nimda,Codered, and even include W32.Klez.1.X
    2. Well paid jobs are wanted.
    3. Poor life should be unblessed.
    4. Don"t accuse me, please accusse the unfair sh*t world.

    Dann wird ein HTML-formatiertes eMail generiert mit zufällig erstelltem Attachmentnamen.

    Das empfangene eMail muiss nicht aktiv geöffnet werden! Es wird eine bekannte Sicherheitslücke von IE-basierten eMail-Clients genutzt (Automatic Execution of Embedded MIME type), die es ermöglicht, Attachments automatisch zu öffnen. Das Attachment erscheint als audio/x-wav oder audio/x-midi, d.h. beim Öffnen startet ein Audio-Player.

    Deaktivierung von AV-Programmen:

    Der Computerwurm beendet Prozesse - in einigen Fällen löscht er die Ausführdateien von Programmen mit folgenden Namen, oder u.a. strings:

    _AVP32
    _AVPCC
    NOD32
    NPSSVC
    NRESQ32
    NSCHED32
    NSCHEDNT
    NSPLUGIN
    NAV
    NAVAPSVC
    NAVAPW32
    NAVLU32
    NAVRUNR
    NAVW32
    _AVPM
    ALERTSVC
    AMON
    AVP32
    AVPCC
    AVPM
    N32SCANW
    NAVWNT
    ANTIVIR
    AVPUPD
    AVGCTRL
    AVWIN95
    SCAN32
    VSHWIN32
    F-STOPW
    F-PROT95
    ACKWIN32
    VETTRAY
    VET95
    SWEEP95
    PCCWIN98
    IOMON98
    AVPTC
    AVE32
    AVCONSOL
    FP-WIN
    DVP95
    F-AGNT95
    CLAW95
    NVC95
    SCAN
    VIRUS
    LOCKDOWN2000
    Norton
    Mcafee
    Antivir
    TASKMGR2
    Folgende Dateien werden gelöscht, falls sie auf dem infizierten System gefunden werden:

    ANTI-VIR.DAT
    CHKLIST.DAT
    CHKLIST.MS
    IVB.NTZ
    SMARTCHK.MS
    SMARTCHK.CPS
    AVGQT.DAT
    AGUARD.DAT
    Verschleierung:

    Auf WIN 95/98 Systemen registriert sich der Wurm als Serviceprozess, so daß er nicht in der Task-Leiste erscheint. Auf WIN 2000 Systemen registriert er sich als sog. Service Control Dispatcher.

    Wichtig:

    WORM_KLEZ.E läuft nicht auf NT 4.0 Systemen, oder ihren Vorgängern!

    Gruß Lumbi
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen