News 10.07.2000, 17:30 Uhr

I-Worm.Silver

Der neue Internet-Wurm namens «Silver» ist brandgefährlich. Dieser Wurm verbreitet sich sowohl über Internet und IRC Channels, als auch über lokale Netzwerke und verändert die Windows-Registry so, dass der PC praktisch unbrauchbar wird.
Der Wurm "I-Worm.Silver" ist ein Windows-Programm, welches in der Programmiersprache Delphi geschrieben wurde. Um infizierte Mails zu senden, versucht der Wurm zwei verschiedene Methoden. Zuerst sucht er nach dem Eudora Mailprogramm. Wird er fündig, scannt der Wurm die Datenbank der ausgehenden Mails (die Datei OUT.MBX), merkt sich von dort die Adressen und sendet an jene infizierte E-Mails. Diese Mails sehen ungefähr so aus:
Betreff: "concerning last week ..."
Mailtext: "Please review the enclosed and get back with me ASAP. Doubleclick the icon to open it."
Beilage: C:\silver.exe
Als nächstes versucht der Wurm einfach noch weitere allenfalls installierte Mailprogramme zu missbrauchen, indem er MAPI-Funktionen verwendet. Er verbindet sich mit dem E-Mail-System, holt sich von dort Messages, liest die E-Mail-Adressen aus und verschickt sich an jene Adressen. Dann sehen die Mails so aus:
Betreff: "Re: now this is a nice pic :-)"
Mailtext: "Though you might be interested in seeing her"
Beilage: naked.jpg.exe
Um sich auch noch über IRC Clients zu verbreiten, schaut sich der Wurm nach Ordnern wie C:\MIRC, C:\MIRC32 und C:\PIRCH98 um und überschreibt darin IRC-Scripts mit einem Programm, welches ein Wurm-Exemplar an jeden schickt, der den gleichen Channel betritt.
Fies, aber nicht ganz neu, ist, dass der Schädling auch noch geladene Antiviren-Programme stoppt und von diesen gewisse Dateien löscht. Durch verschiedene Registry-Manipulationen sorgt der Silver-Wurm dafür, dass er bei jedem Windows-Start gleich in mehreren Sessions geladen wird.
Jedes auf dem PC installierte Programm ist in der Registry eingetragen, damit Windows weiss, mit welchem Programm ein bestimmter Dateityp geöffnet werden muss. Doppelklickt man z.B. eine Datei mit der Endung "*.doc", wird normalerweise automatisch MS Word gestartet. "Silver" greift nun diese Windows-Funktion an, indem er rund 100 Registry-Einträge verändert und dafür sorgt, dass statt dem richtigen Programm wieder ein weiteres Viren-Exemplar gestartet wird.
Als würde dies nicht reichen, überschreibt er die Registry-Backup-Dateien USER.DA0 und SYSTEM.DA0 mit Schrott, damit der Benutzer keine funktionierende Registry-Version wiederherstellen werden kann.
Ausführliche Info von Kaspersky Lab [1].



Kommentare
Es sind keine Kommentare vorhanden.