News
10.03.2003, 18:45 Uhr
W32/Gibe (inkl. Varianten)
Gibe ist ein Wurm, der eine Hintertüre für potentielle Cracker öffnet. Da er sich als Microsoft-Update ausgibt, besteht die Möglichkeit, dass er eine nennenswerte Verbreitung erreicht. Zumindest ein paar Exemplare sind in der Schweiz schon eingetroffen.
Der Gibe-Wurm tarnt sich als Microsoft-Update. Da kein seriöser Software-Anbieter unaufgefordert ausführbare Dateien verschicken würde, sollte Ihnen dies schon von vorneherein verdächtig vorkommen. Der Absende (meist "Microsoft") ist vom Wurm selber gefälscht.
Die Mail, mit der sich Gibe verbreitet, hat diese oder sehr ähnliche Kennzeichen:
Gefälschter Absender: Microsoft Corporation Security Center (oder ähnlich)
An: Microsoft Customer
Beispiel-Betreff: Internet Security Update
Beispiel-Name der Beilage: q216309.exe (oder ähnlich wie Patch123.exe, Update345.exe)
Im Mailtext wird behauptet, die Beilage sei ein wichtiges Update von Microsoft. So sieht der erste Abschnitt der ersten Gibe-Variante aus:
Microsoft Customer,
this is the latest version of security update, the known security vulnerabilities affecting Internet Explorer and MS Outlook/Express as well as six new vulnerabilities, and is discussed in Microsoft Security Bulletin MS02-005. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your computer.
-- Ende des Mail-Text-Zitates --
Lässt sich der Benutzer dazu hinreissen, die Beilage zu öffnen, zeigt der Wurm eine Dialogbox an, die vorgibt, ein Microsoft Security Update zu installieren.
Weiter kopiert der Wurm aus der Windows-Registry die Standard-Mail-Adresse des Benutzers und den von ihm verwendeten Postausgangsserver (SMTP). Diese Werte trägt er in eigene Registry-Einträge ein, die er hier anlegt (nur bei Wurm-Variante A):
HKEY_LOCAL_MACHINE\Software\AVTech
HKEY_LOCAL_MACHINE\Software\AVTech\Standard-Mail-Adresse
HKEY_LOCAL_MACHINE\Software\AVTech\Postausgangsserver
HKEY_LOCAL_MACHINE\Software\AVTech\Installed = ...by Begbie
Nun legt er die Datei q216309.exe im Windows-Ordner ab und eine Datei namens vtnmsccd.dll im Windows System-Ordner. Im Windows-Ordner landen auch noch drei weitere Dateien, die er sogleich startet: bctool.exe, winnetw.exe und gfxacc.exe. Damit zwei der letztgenannten Dateien auch beim nächsten Windows-Start ausgeführt werden, trägt er diese ebenfalls in der Windows-Registry ein, und zwar hier:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Eintrag: "3dfx Acc" Wert: Pfad zur Datei GFXACC.EXE
Eintrag: "LoadDBackup" Wert: Pfad zur Datei BCTOOL.EXE
In einer zusätzlichen Datei mit dem Namen 02_n803.dat speichert der Wurm Informationen über E-Mail-Empfänger, die er im Outlook Adressbuch und in auf der Festplatte gespeicherten Internet-Dateien findet.
Der Zweck der Dateien bctool.exe und winnetw.exe ist, den Wurm mit den eingangs beschriebenen Merkmalen an die Adressen zu verschicken, die in 02_n803.dat gesammelt wurden. Die Datei gfxacc.exe öffnet im Internet-Verkehr des infizierten PCs eine Hintertüre (genauer: den [1] Port 12387), über die sich ein Hacker den Zugang zum PC verschaffen könnte. Einige Antivirus-Programme identifizieren die Datei gfxacc.exe als separaten Trojaner, z.B. bei McAfee [2] als BackDoor-ABJ. Weitere Informationen finden Sie z.B. auch bei Symantec [3] und Sophos [4].
Neue Variante: W32/Gibe.B
Die gegen Ende Februar 2003 entdeckte Variante des Gibe-Wurms (Variante B) verwendet andere Dateinamen, gibt aber auch vor, ein Microsoft-Update zu sein. Beim Ausführen des infizierten Anhangs zeigt diese Variante sofort ein gefälschtes "Licence Agreement" (Lizenzbedingungen) an, das den Anschein macht, es stamme von Microsoft. Screenshots der Meldungen: siehe Original-Beschreibungen von F-Secure [5] und Kaspersky [6].
Unabhängig davon, ob der Benutzer "Ja" oder "Nein" anklickt, installiert sich der Wurm trotzdem. Er legt Dateien wie diese im temporären Ordner auf der Festplatte ab:
IEPatch.EXE
KaZaA upload.EXE
Porn.EXE
Sex.EXE
XboX Emulator.EXE
PS2 Emulator.EXE
XP update.EXE
XXX Video.EXE
Sick Joke.EXE
Free XXX Pictures.EXE
My naked sister.EXE
Hallucinogenic Screensaver.EXE
Cooking with Cannabis.EXE
Magic Mushrooms Growing.EXE
I-Worm_Gibe Cleaner.EXE
Falls ein Filesharing-Programm wie KaZaA installiert ist, kopiert "Gibe.B" dieselben Dateien auch in den durch KaZaA freigegebenen Ordner. Zusätzlich versucht Gibe sich auch innerhalb eines Netzwerks in die Systemordner anderer PCs zu kopieren, sofern diese freigegeben sind. Nicht zuletzt verbreitet er sich auch via IRC (Internet Relay Chat), indem er die Datei SCRIPT.INI überschreibt und sich damit jeweils an andere IRC-Benutzer zu übermitteln versucht.
Weitere Dateien und Registry-Einträge, die von der Wurm-Variante Gibe.B installiert werden:
Im Autostart-Ordner: WebLoader.exe
Im Windows-Ordner: GIBE.DLL, DX3DRndr.exe, MSBugAdv.exe, WMSysDx.bin, MSErr.bak, und eine Datei mit einem Namen ähnlich wie P270904.EXE
Im Windows-System-Ordner: MSWinsck.OCX
In diesem Registry-Zweig:
HKEY_LOCAL_MACHINE\Software\Microsoft\
..\Windows\CurrentVersion\Run
erstellt er diesen Eintrag: "DxLoad" = "%windir%\DX3DRndr.exe"
Ein weiterer Trick ist die verfängliche Signatur mancher Gibe-Mails, die vorgibt, von einem Virenscanner geprüft worden zu sein:
Outgoing mail is certified Virus Free.
Checked by (Herstellername) anti-virus system (http://www.(Herstellername).com
Release Date: (Datum)
Prävention:
Wichtig: Kein seriöser Software-Hersteller würde Ihnen seine Updates unaufgefordert per Mail schicken. Laden Sie Programme und Updates stets von den Original-Webseiten des Herstellers herunter und trauen Sie keinen Dateien, die Ihnen angeblich von Microsoft oder einem anderen Software-Hersteller unaufgefordert geschickt wurden. Ähnliche Tricks haben auch schon andere Schädlinge angewendet, denn solche Mails lassen sich sehr leicht fälschen.
Sollte Ihr PC bereits mit W32/Gibe infiziert sein, werden Sie ihn aber relativ einfach wieder los. Erstellen Sie zuerst eine Sicherungskopie Ihrer Windows Registry, denn eine Fehlmanipulation im Registry Editor könnte schwerwiegende Folgen für Ihr System haben.
Gehen Sie zu Startmenü/Ausführen, tippen Sie REGEDIT ein und drücken Sie die Enter-Taste. Dies startet den Registrierungs-Editor. Für die Registry-Sicherung achten Sie darauf, dass in der linken Fensterhälfte ganz zu oberst der erste Eintrag "Arbeitsplatz" markiert ist. Nach einem Klick auf "Registrierung/Registrierungsdatei exportieren" wählen Sie einen Namen für die Datei, z.B. backup.reg und einen Speicherort, z.B. den Desktop. Nach dem Speichern vermeiden Sie bitte einen Doppelklick auf die exportierte REG-Datei, ausser, es geht bei den Änderungen etwas schief oder Sie möchten die nun folgenden Änderungen rückgängig machen.
Für Gibe-Variante A gilt:
Im Registry-Editor gehen Sie zu HKEY_LOCAL_MACHINE\Software
Darin lokalisieren Sie den Zweig AVTech und löschen ihn, denn der ganze Zweig wurde vom Wurm erstellt.
Nun gehen Sie zu diesem Zweig und klicken in der linken Fensterhälfte einmal drauf, damit Sie in der rechten Fensterhälfte die Einträge sehen:
HKEY_LOCAL_MACHINE\Software\Microsoft\
..\Windows\CurrentVersion\Run
In der rechten Fensterhälfte klicken Sie folgende zwei Einträge mit der *rechten* Maustaste an und wählen "Löschen":
"3dfx Acc" Wert: Pfad zur Datei GFXACC.EXE
"LoadDBackup" Wert: Pfad zur Datei BCTOOL.EXE
Nun starten Sie den PC neu und löschen Sie die vom Wurm platzierten Dateien. Wenn Sie auf den Neustart verzichten, könnte es sein, dass Windows die Dateien blockiert, weil sie in Benutzung sind.
Im Ordner C:\Windows sind es diese Dateien: q216309.exe, bctool.exe, winnetw.exe, gfxacc.exe und 02_n803.dat
Und im Ordner C:\Windows\System ist es diese: vtnmsccd.dll
Die oben genannten Ordnernamen könnten ändern, falls z.B. Ihr Windows in einem anderen Ordner als C:\Windows\ installiert ist. Scannen Sie anschliessend Ihre Festplatten noch einmal mit einem aktualisierten Virenscanner.
Für Gibe-Variante B gilt:
Gehen Sie im Regitry-Editor (REGEDIT.EXE) zu diesem Registry-Zweig:
HKEY_LOCAL_MACHINE\Software\Microsoft\
..\Windows\CurrentVersion\Run
Entfernen Sie darin diesen Eintrag: "DxLoad" = "%windir%\DX3DRndr.exe"
Scannen Sie Ihre Festplatte mit einem aktuellen Virenscanner und scannen Sie damit alle Dateien. Was als Gibe-infiziert gefunden wird, lassen Sie löschen.
Kommentare
Es sind keine Kommentare vorhanden.