News 08.01.2003, 16:00 Uhr

W32/Recory

Dieser Wurm verbreitet sich unter Anderem über Filesharing-Dienste wie KaZaA, Morpheus, Bearshare, EDonkey2000 und Grokster. Zudem profitiert er von einem bekannten Hoax (jdbgmgr.exe).
Der Hoax (Scherz), der in einer Kettenmail aufforderte, die harmlose Windows-Datei namens JDBGMGR.EXE zu löschen (siehe Kummerkasten [1]), zieht nun weitere Kreise. Einem Virenprogrammierer ist nichts Besseres eingefallen, als einen Wurm zu erfinden, der (unter Anderem) vom oben erwähnten Hoax in gewisser Weise profitiert.
Zum einen verbreitet sich der Recory-Wurm über IRC (Internet Relay Chat), indem er dort Scripts verändert. Ausserdem versucht er sich in freigegebene Ordner einiger Messaging- und Filesharing-Programme (z.B. ICQ, KaZaA, Morpheus und andere) zu kopieren.
Die Dateinamen, die er dort verwendet, sollen andere Filesharing-Benutzer dazu verleiten, die Datei vom infizierten PC herunter zu laden. Deshalb heissen diese zum Beispiel so:
The Lord of the Rings - The Two Towers (Fast-Downloader).pif
007 - Die Another Day (Rocket Downloader).pif
Harry Potter and the Chamber of Secrets (Fast-Downloader).pif
Britney Spears Wallpaper.pif
Harry Potter and the Philosophers Stone (Movie-Downloader).pif
Abgesehen von der Verbreitung via IRC und Filesharing setzt er auch auf das altbewährte Kommunikationsmittel E-Mail. Der Wurm verschickt automatisch Mails mit einem Text, der in ähnlicher Form bereits oft genug in einem bekannten Hoax (einer falschen Virenwarnung) gesehen wurde:
----- Mail-Zitat Anfang -----
Hello readers,
I have just cleaned my computer from a highly damaging computer virus
Which is spreading rapidly through computer networks worldwide.
There is one way to check to see if your computer is infected with this virus.
Click the Start menu at the bottom left of your screen.
Click the Find or Search button.
Click the Files or folders... option.
Then once the search application starts, type Jdbgmgr.exe
If you have found this file, right-click on it and click the Properties tab.
If the Properties menu has a picture of a bear on it,
your computer is infected with this virus. (Note that the non-infected file
picture has a hammer and a screwdriver shown in it)
You may delete this file, but this is not the only file that the virus infects,
To remove this virus, I have included a virus removal tool in the attachments
that will scan all system files and remove any infectious code from them.
This virus removal tool is very easy to use. If you have any trouble with this
tool, read the help menu that the removal tool supplies.
If your computer is infected with this virus, It is strongly recommended that you
send this removal tool to as many people as you can to help remove the traces of
this virus worldwide.
----- Mail-Zitat Ende -----
Einige Beispiele für Betreffzeilen, die dieser Wurm in den Mails verwendet, meist mit einem "Fw:" oder "Fwd:" vorangestellt:
Computer virus outbreak
Computer virus removal
About a severe computer virus
Severe computer virus alert
Virus removal tool
Severe alert
Attention employees
Alert
Readme
Important
Important Information
Update your virus scanners
Warning
Microsoft support
Knowledge Database alert
Virus warning
Virus alert
Help with removal
Removal tool
Urgent news
Gemäss Symantecs Wurm-Beschreibung [2] verwendet der Wurm Microsoft Outlook für die Verbreitung und schickt sich an Adressen, die er aus dem Windows Adressbuch des infizierten PCs bezieht.
Als Beilage führt der "gefälschte Hoax" natürlich eine Datei mit, die den angeblichen Virus entfernen soll. Es ist keine Überraschung, dass genau diese Mailbeilage einen Wurm enthält.
Der Dateiname selber gaukelt dem Empfänger schon vor, ein Reparatur-Programm zu sein. Solche und viele weitere ähnlich lautende Dateinamen werden von diesem Wurm verwendet, stets mit einer Endung wie .exe, .pif oder .com: RemovalTool, FixTool, KillVir, KillVirus, RepairVirus, RepairVir, Cleaner, VirusFix, CleanVirus, CleanVir etc.
Wer auf die Mail hereinfällt und die Mail-Beilage ausführt, startet den Recory-Wurm, der sich zunächst in vielen verschieden benannten Exemplaren in die unterschiedlichsten Ordner ablegt, z.B. in C:\Windows\, C:\Windows\System32\, C:\Windows\Java etc. Hier nur einige Beispiele von Dateinamen, unter denen er sich dort ablegt:
MswinRegFiles32.com
CheckThis.pif
Jdbgmgr.exe
Msjpeg32.pif
Runsys32.bat
Regfiles.bat
Winbatch.bat
Msjava.pif
Filecmd32.com
Mswin32.pif
Winocx32.pif
In der Windows Registry wird folgender Schlüssel erstellt:
HKEY_CURRENT_USER\Software\Zed/(rRlf)\Recovery\1.1\
Und in diesem Registry-Zweig
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
erstellt der Wurm einen Eintrag wie:
Msdos32: (Windows-System-Ordner)\Msdos32.pif
Weitere Beschreibungen dieses Schädlings finden Sie auch bei F-Secure [3] oder Computer Associates [4].
Führen Sie keine Mail-Beilagen aus, die Ihnen unaufgefordert zugestellt werden. Glauben Sie nichts, das in per Mail verbreiteten Virenwarnungen steht.
Sollte Ihr PC vom Recory-Wurm befallen sein, aktualisieren Sie Ihren Virenscanner, damit dieser den Schädling erkennt. Scannen Sie anschliessend alle Laufwerke nach Viren und lassen Sie alle Dateien löschen, die Ihr Virenscanner als Recory-infiziert meldet.



Kommentare
Es sind keine Kommentare vorhanden.