News 12.05.2003, 15:45 Uhr

W32/Kickin

Ein Wurm mit verschiedenen Ausbreitungswegen, der zudem die Antivirus-Hersteller per Mail über seine eigene Verbreitung informiert.
Dieser Wurm verschickt auch Mails an Antivirus-Hersteller. So habe zum Beispiel das Labor der finnischen Antivirus-Expertin F-Secure schon einige solche automatisch verschickten Nachrichten erhalten, bevor man dort überhaupt das erste echte Exemplar des Schädlings zu Gesicht bekam.
Die Verbreitung des Wurms erfolgt über E-Mail, IRC (Internet Relay Chat) und über die Tauschbörsen Bearshare, Edonkey, KaZaA und Morpheus.
Die Mails, mit denen er eintrifft, tragen völlig unterschiedliche Betreffzeilen, Mail-Texte und Beilagennamen; aber fast immer in Englisch. Einige der verwendeten Mailtexte geben beispielsweise vor, Informationen über die derzeit grassierende Lungenseuche SARS zu enthalten, andere wollen dem Empfänger weismachen, die Beilage sei ein Update zu einem Symantec- oder Microsoft-Produkt, enthalte einen Bildschirmschoner, Ferienbilder oder einen Witz. Beispiele sehen Sie in der Kickin-Beschreibung von F-Secure [1]. Die Beilage selber ist eine ausführbare Datei mit einer Endung wie .SCR, .EXE, .COM oder .PIF.
Die Adressen, an die sich der Wurm verschickt, bezieht er aus den Adressbüchern und Kontaktlisten verschiedener Programme: ICQ, MSN Messenger, .NET Messenger, Outlook Express (Windows Adressbuch), Yahoo Messenger und aus HTML- und EML-Dateien, die er auf der Festplatte findet.
Die Verbreitung über KaZaA & Co. erfolgt bei Kickin auf dieselbe Weise wie bei anderen so genannten Peer-to-Peer-Würmern: Er macht den ins Internet freigegebenen Ordner des jeweiligen Programms ausfindig und kopiert sich unter einem der folgenden Dateinamen dort hinein, in der Hoffnung, andere P2P-Benutzer täten sich die Datei von dort herunterladen. Wer das angebliche Crack-Tool herunterlädt und ausführt, steckt damit seinen PC an:
AIM Remote Password Cracker.exe
Chaos Ip Spoof 2003.exe
FTP Cracker-2003(Crack the password of ANY FTP server with this tool!).exe
Hotmail Exploiter 2003.exe
Msn Messenger Remote Password Cracker 2003.exe
Netbios hacker.exe
Ultimate HackProg.exe
Virus Creation ToolKit-VX v7.1_create virii with this tool,Klez.H and Sircam has been created with version 6.exe
WebAttack-DoS Tool.exe
XNuker 2003.exe
Yahoo Remote Password Cracker Deluxe 2003.exe
Seine Verbreitung über IRC funktioniert so: Auf dem infizierten PC ersetzt er die Datei SCRIPT.INI des verwendeten IRC-Programms. Wenn mit dem so infizierten PC ein IRC-Kanal aufgesucht wird, verschickt das Script automatisch Nachrichten der folgenden Art an jeden Benutzer, der ab diesem Zeitpunkt den Kanal betritt:
<Name des Neuankömmlings> hi,im CyberWolf,15 and from austria and u?
oder
<Name des Neuankömmlings> check out this crazy screensaver!its magic!!!
Anschliessend verschickt der Wurm eine infizierte Datei namens Magical-Screensaver.scr an den Neuankömmling.
Ob ein Benutzer die Wurmdatei via Mail, Tauschbörse oder IRC bekommt, ist dann einerlei. Wenn der Benutzer die Datei ausführt, geschieht folgendes:
Der Wurm kopiert sich in eine versteckte Datei namens Cyberwolf.exe in den Windows-Ordner. Im System-Ordner von Windows werden weitere Exemplare des Wurms abgelegt, und zwar unter diesen Namen:
Api Hooking-Tutorial.exe
Christina Aguilera-The most beautiful girl on earth.scr
FixSql.com
format.com
Hotmail Hacker.exe
Kernel32.exe (mit den Datei-Attributen: "Versteckt" und "System")
Last Summer.scr
Love.scr
Magical-Screensaver.scr
mapi32.drv
MsnMsgs.exe
OutWar Demo.exe
Q30215HOTFIX.pif
Saddam-the real pics.scr
SARS-Guide.scr
Setup.exe
Soccer Database.exe
Virtual Joke.scr
Die Datei Kernel32.exe trägt der Kickin-Wurm in der Windows Registry ein, damit sie jedes Mal ausgeführt wird, wenn der Benutzer eine beliebige EXE-Datei startet.
Diese Modifikation findet in diesem Zweig statt:
HKEY_CLASSES_ROOT\exefile\shell\open\command
Und lautet so:
Standard = "(Windows-System-Ordner)\Kernel32.exe"%1"%*""
Der Wurm legt noch weitere Registry-Einträge an. In diesem Zweig sind es zwei, die beide bewirken, dass der Wurm bei jedem Systemstart geladen wird:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Die Einträge lauten:
"CyberWolf" = "(Windows-Ordner)\CyberWolf.exe"
"Windows Kernel" = "(Windows-System-Ordner)\Kernel32.exe"
Bisweilen werde auch dieser Eintrag erstellt:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\System
= (aktuelles Laufwerk):\(System-Ordner)\Kernel32.exe
Zusätzliche Registry-Änderungen in diesem Zweig bewirken, dass Dateiendungen und versteckte Dateien nicht angezeigt werden:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced
Hier ändert er den Wert "Hidden" auf "2" (normal wäre "1") und "HideFileExt" auf "1" (normal wäre "0").
Als wäre das nicht genug, erstellt er auch Einträge, die bewirken, dass explizit beim Starten des Registry-Editors (REGEDIT.EXE) und des MSCONFIG-Programms wieder ein Exemplar des Wurms ausgeführt wird. Das findet in diesem Registry-Zweig statt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
Und zwar mit diesen Einträgen
REGEDIT.EXE mit dem Wert "(Standard)"="(Windows-System-Ordner)\kernel32.exe"
MSCONFIG.EXE mit dem Wert "(Standard)"="(Windows-System-Ordner)\kernel32.exe"
Seiner Beseitigung versucht er zusätzlich zu entgehen, indem er Fenster schliesst, die solche folgende Namen tragen:
Norton AntiVirus
LiveUpdate
System Configuration Utility
Process Viewer
Register-Editor
Windows Task Manager
Ausserdem beendet der Wurm System-Prozesse, die vom Namen her zu Virenscannern gehören könnten.
Je nach Datum und Systemzeit erstellt der Wurm noch harmlose Textdateien namens CyberWolf.txt oder Windows.lOg im Windows-Ordner. Der etwas offensichtlichere Schadensteil öffnet eine dieser Webseiten:
www.brain-hack.com
www.indiansnakes.cjb.net
www.christinaaguilera
www.catholicninjas.org/superfuntime/
Abgesehen von den lästigen Änderungen im System und der unerwünschten Verbreitung schickt der Wurm von jedem PC, der infiziert wurde, eine Mail an einige Antivirus-Hersteller. Informationen über diesen Schädling finden bei F-Secure, McAfee [2], Sophos [3], CAI [4] oder Symantec [5].
Beseitigung:
Die Beseitigung ist eher kompliziert, da der Wurm zahlreiche Registry-Einträge erstellt, die exakt jene Hilfsmittel beeinflussen, die zum Beseitigen eines solchen Wurms benötigt werden. Scannen Sie Ihre Festplatte mit einem aktuellen Virenscanner und lassen Sie alle gefundenen Wurm-Exemplare löschen. Sollte der Virenscanner nicht funktionieren, versuchen Sie es mit einem Direkt-ab-Web-Scanner wie z.B. ActiveScan von Panda [6].
Sie müssen auch die vom Wurm erstellten Registry-Einträge entfernen. Dies bedingt, dass Sie zuerst eine Kopie der Datei REGEDIT.EXE erstellen müssen. Hierzu gehen Sie am besten so vor:
Windows 95/98:
Gehen Sie zu "Start/Programme/MS-DOS-Eingabeaufforderung" und tippen Sie nacheinander folgende zwei Zeilen ein, die Sie mit Enter abschliessen:
copy regedit.exe regedit.com
start regedit.com
Windows ME:
Gehen Sie zu "Start/Programme/Zubehör/MS-DOS-Eingabeaufforderung" und tippen Sie nacheinander folgende zwei Zeilen ein, die Sie mit Enter abschliessen:
copy regedit.exe regedit.com
start regedit.com
Windows 2000:
Gehen Sie zu "Start/Ausführen", tippen Sie COMMAND ein und drücken Sie Enter. Nun tippen Sie nacheinander folgende drei Zeilen ein, die Sie mit Enter abschliessen:
cd \winnt
copy regedit.exe regedit.com
start regedit.com
Windows XP:
Gehen Sie zu "Start/Ausführen", tippen Sie COMMAND ein und drücken Sie Enter. Nun tippen Sie nacheinander folgende vier Zeilen ein, die Sie mit Enter abschliessen:
cd\
cd \windows
copy regedit.exe regedit.com
start regedit.com
Nun wird die Kopie des Registry-Editors gestartet. Schliessen Sie NICHT das DOS-Fenster, bis Sie mit dem Ändern der Registry fertig sind. Und wie wir an dieser Stelle zu warnen pflegen: Ein falscher Eingriff in die Windows-Registry kann unliebsame Auswirkungen auf Ihr System haben. Legen Sie im Registry-Editor via "Registrierung/Registrierungsdatei exportieren" am besten eine Sicherung an, bevor Sie die in der oben stehenden Beschreibung erwähnten Registry-Einträge entfernen.



Kommentare
Es sind keine Kommentare vorhanden.