News 03.07.2003, 15:15 Uhr

W32/Muma, alias Mumu, Hucline

Bei Muma handelt es sich um einen Wurm, der sich nicht via Mail, sondern via Netzwerk an ungenügend gesicherte PCs verbreitet.
Der Netzwerk-Wurm W32/Muma enthält eine Reihe von Dateien und Hacking-Werkzeugen. In der ersten Variante, die gemäss einer Beschreibung der finnischen Antivirus-Experten von F-Secure anfangs Juni 2003 gefunden wurde, waren im Wesentlichen Dateien mit diesen Namen enthalten:
10.BAT
HACK.BAT
IPC.BAT
MUMA.BAT
NEAR.BAT
NTSERVICE.BAT
RANDOM.BAT
REPLACE.BAT
SS.BAT
START.BAT
HFIND.EXE
NTSERVICE.EXE
NWIZ_.EXE
PSEXEC.EXE
REP.EXE
PCMSG.DLL
A.LOG
NTSERVICE.INI
NWIZE.IN_
IPCPASS.TXT
SPACE.TXT
TIHUAN.TXT
Die erwähnten Batch-Dateien (*.BAT) dienen dem Wurm hauptsächlich dazu, andere Batch-Dateien oder Programme (*.EXE, *.DLL) anzustossen, Dateien zu kopieren oder einen neuen Benutzer mit Administrator-Rechten zu erstellen. Die Programme wiederum sind zum Teil Werkzeuge, um das Netzwerk und den PC auszuspionieren. In den Textdateien (*.TXT, *.INI) sind Konfigurations-Informationen abgelegt sowie eine Reihe von typischen unsicheren Passwörtern, die der Wurm beim Aufspüren verwundbarer PCs durchprobiert. Alle erwähnten Dateien werden vom Wurm in den Ordner C:\Windows\System32\ (oder C:\WINNT\System32) des verwundbaren PCs kopiert.
Eine zweite Variante (Muma.B) des Wurms unterscheidet sich vom ersten dadurch, dass es nur zwei Dateien sind, die dorthin kopiert werden. Die eine ist die Batch-Datei NTSERVICE.BAT und die zweite heisst IPCNL.EXE. Letztere ist ein ausführbares ZIP-Archiv, das alle anderen Dateien enthält.
Eine dritte Variante des Wurms (Muma.C) wurde Ende Juni 2003 entdeckt und verbreitet sich nur auf PCs, auf denen Windows NT, Windows 2000 oder Windows XP installiert ist. Deren Hauptdatei heisst MUMU.EXE und ist eine Art Installationspaket, das die anderen Dateien enthält. Der Wurm kopiert die Datei via Netzwerk in den Windows-System-Ordner eines verwundbaren PCs, führt sie aus und entpackt daraus die folgenden Dateien:
LAST.EXE: Ein Trojanisches Pferd, das Daten ausschnüffelt
PSEXEC.EXE: Ein Programm, das auf anderen PCs Programme startet
KAVFIND.EXE: Das Hacker-Programm "Hucline", das verwundbare PCs im Netz sucht
BBOY.DLL: Ein Passwort-Ausschnüffel-Programm
IPSPASS.TXT: Die Liste mit den Passwörtern, die durchprobiert werden
Das Passwort-Spionier-Programm speichert die gefundenen Passwörter in eine Datei namens QJINFO.INI und schickt diese dem mutmasslichen Virenprogrammierer via E-Mail. Angeblich könne auch noch eine Datei BBOY.EXE vorhanden sein, die mit der Datei LAST.EXE identisch ist.
Tipps, um eine Ansteckung zu vermeiden:
Alle Benutzer auf Ihrem PC brauchen einen Benutzernamen mit einem sicheren Passwort, das keinem in der Liste ähnelt, die z.B. in der Virenbeschreibung [1] von F-Secure stehen. Ferner fanden wir bei NAI ([2] und [3]) einen Tipp, wie Sie die so genannten administrativen Freigaben (C$, D$, E$, IPC$ und ADMIN$) bei jedem PC-Start deaktivieren können, damit sich niemand über diese auf Ihrem PC anmelden kann.
Wichtig: In Firmennetzwerken werden administrative Freigaben oft benötigt. Ihr Netzwerkverantwortlicher muss entscheiden, ob Sie auf die Freigaben, die Sie mit diesem Tipp löschen werden, überhaupt verzichten können bzw. dürfen.
Gehen Sie zu "Start/Ausführen", tippen Sie compmgmt.msc ein und drücken Sie Enter. Öffnen Sie den Zweig "Freigegebene Ordner" und klicken Sie "Freigaben" an. Jene Freigaben, die zuhinterst ein Dollar-Zeichen tragen, sind administrative Freigaben, die standardmässig bei Windows NT, 2000 und XP vorhanden sind und die es zu entfernen gilt. Da diese bei jedem Windows-Start wieder hergestellt werden, greifen Sie am besten selber zur Möglichkeit, Batch-Dateien zu erstellen und zu verwenden.
Damit Sie die Befehle nicht eintippen müssen, haben wir diese für Sie vorbereitet. Markieren Sie per Maus die folgenden Zeilen und drücken Sie CTRL+C, um die Zeilen zu kopieren:
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete
net share e$ /delete
Gehen Sie nun zu "Start/Programme/Zubehör" und starten Sie dort den Editor (Notepad). Drücken Sie CTRL+V, um die kopierten Zeilen dort einzufügen. Falls Sie kein Festplattenlaufwerk namens D: bzw. E: haben (CD-Laufwerke zählen hier nicht) können Sie die Zeilen, die ein "d$" bzw. "e$" enthalten, löschen. Speichern Sie diese Datei nun an einem beliebigen Ort, den Sie einfach wieder finden. Wichtig: Verwenden Sie beim Speichern die Endung BAT, also heisst die Datei dann zum Beispiel "unfreigabe.bat". Ziehen Sie diese Datei nun mit gedrückter rechter Maustaste auf Ihr Startmenü und warten Sie, bis sich dieses öffnet, damit Sie via "Programme" bzw. "Alle Programme" Zugriff aufs Menü "AutoStart" haben. Legen Sie die Datei dort drin ab bzw. lassen erst im Menü AutoStart die Maustaste los. Nun können Sie eine Verknüpfung erstellen. Fortan werden bei jedem PC-Start die bei Privat-PCs oft überflüssigen administrativen Freigaben entfernt.
Falls Ihr PC mit dem Muma-Wurm befallen ist, sollten Sie als erstes bei allen PCs in Ihrem Netzwerk die administrativen Freigaben entfernen. Anschliessend können Sie den "Stinger", ein spezielles Viren-Beseitigungsprogramm von NAI [4] verwenden, um den Schädling aus Ihrem PC zu entfernen oder je nach Mumu-Variante das entsprechende Beseitigungsprogramm von Symantec gegen die A-Variante [5] oder die B-Variante [6] des Wurms. Sind alle Wurmkomponenten entfernt, vergeben Sie nach dem nächsten PC-Start allen Benutzern neue Passwörter.



Kommentare
Es sind keine Kommentare vorhanden.