News 03.02.2005, 15:00 Uhr

W32/Bropia

Am 2. Februar 2005 wurde eine Variante des Bropia-Wurms entdeckt, die sich recht schnell via MSN-Messenger verbreitet.
Bei Bropia handelt es sich um einen Wurm, der bereits im Januar in verschiedenen Varianten entdeckt worden war. Allen gemeinsam ist die Verbreitungsweise: Sofern der MSN Messenger installiert und gestartet ist, verschickt sich der Wurm automatisch an alle MSN-Kontakte. Im Gegensatz zu den ersten Varianten scheint sich die neuste Inkarnation des Bropia-Wurms etwas erfolgreicher zu verbreiten.
Wenn ein Benutzer die via MSN-Messenger empfangene Datei öffnet, dann geschieht folgendes:
Der Wurm kopiert sich mit dem Dateinamen msnus.exe in den Windows Systemordner (z.B. C:\Windows\System32\ oder C:\Winnt\system32\). Danach prüft er, ob im selben Ordner diese Dateien vorhanden sind: adaware.exe, dnsserv.exe, lexplore.exe, VB6.EXE.exe, Win32.exe, winhost.exe und winis.exe.
Wenn er nicht fündig wird, erstellt und startet er direkt in C: eine Datei namens cz.exe. Diese Datei ist eine Variante eines anderen Wurms (Agobot, alias Rbot, Spybot oder Sdbot), der im System ziemlich üble Hintertüren öffnet. Der Agobot-Wurm kopiert sich mit den Dateinamen winhost.exe in den Windows-Systemordner (z.B. C:\Windows\System32\ oder C:\Winnt\System32\) und löscht die zuvor erstellte Datei cz.exe.
Die Datei winhost.exe trägt der Wurm in der Windows-Registry ein, damit sie bei jedem Windows-Start geladen wird. Der Eintrag findet gleich in mehreren Registry-Zweigen statt, namentlich in diesen dreien:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
Der Eintrag heisst:
"win32" = "(Pfad zu System-Ordner)\winhost.exe"
Auf das Laufwerk C: kopiert er sich mit mindestens einmal mit einem der folgenden Dateinamen:
bedroom-thongs.pif
Hot.pif
LMAO.pif
LOL.scr
naked_drunk.pif
new_webcam.pif
ROFL.pif
underware.pif
Webcam.pif
Um den Benutzer abzulenken, erstellt er direkt in C: die Datei sexy.jpg und zeigt sie in einem Browserfenster an. Die Datei ist ein Bild eines gegrillten Hühnchens.
Nun überwacht der Bropia-Wurm den Status der Kontakte im MSN-Messenger. Sobald sich der Online-Status eines Kontakts ändert, versucht sich der Wurm an ihn zu verschicken. Nebenbei setzt er die Einstellung des Systemlautstärkereglers auf Null. Antivirus-Firmen vermuten, dass dies verhindern soll, dass der Benutzer des infizierten PCs akustische Alarmsignale von Virenscannern hört.
Schäden:
Das Gefährliche am Bropia-Wurm ist das, was er im Gepäck hat: Der Schädling namens "Agobot" ist in unzähligen Varianten auch als Rbot, Spybot oder Sdbot bekannt. Er öffnet in der Internet- bzw. Netzwerkverbindung Hintertüren. Dadurch kann der befallene PC von einem Angreifer für alles Mögliche missbraucht werden, angefangen beim Ausschnüffeln von Passwörtern und sonstigen Daten, Verschicken von Spam oder für Denial-of-Service-Attacken auf andere Server.
Weitere Informationen und Hinweise zur Beseitigung des Wurms (bzw. der beiden Würmer) finden Sie bei den Antivirus-Herstellern. Diese sind sich übrigens mal wieder nicht einig, wie der Schädling heissen soll. Bei F-Secure ist die am 02.02.2005 entdeckte Variante unter dem Namen Bropia.F bekannt [1]. Auch H+BEDV [2] hat ihm den Variantenbuchstaben F verpasst. Bei McAfee [3] kennt man den Schädling als W32/Bropia.worm.g, bei Symantec [4] als W32.Bropia.J. Trend Micro [5] nennt ihn Worm_Bropia.F. Das Labor von Kaspersky nannte eine etwas früher gefundene Variante nochmals völlig anders, nämlich IM-Worm.Win32.VB.a [6].
Der Bropia-Wurm ist ein gutes Beispiel dafür, dass Dateien aus jeder Quelle mit Skepsis behandelt werden müssen. Öffnen Sie keine unerwarteten Dateien, die auf egal welchem Weg zu Ihnen gelangen, sei es via Mail, Tauschbörse oder - wie in diesem Fall - über einen Instant Messenger wie jenen von MSN.



Kommentare
Es sind keine Kommentare vorhanden.