News 17.07.2002, 12:15 Uhr

W32.Frethem (inkl. Varianten)

Dieser Wurm existiert in verschiedenen Varianten, von denen aber nicht alle in freier Wildbahn anzutreffen sind.
Der Frethem-Wurm verbreitet sich automatisch via E-Mail. Die einzelnen Varianten unterscheiden sich hauptsächlich in den verwendeten Mail-Texten, Betreffzeilen und Beilagen-Namen.
Wenn ein Benutzer von Outlook oder Outlook Express eine mit W32.Frethem infizierte Mail liest, führt sich die Mailbeilage automatisch aus, sofern auf seinem System das notwendige Windows-Update fehlt. Die Internet Explorer Versionen 5.01 und 5.5 können via Windows-Update mit dem schon lange erhältlichen Service-Pack 2 (SP2) versehen werden, um die Sicherheitslücke zu schliessen. In Internet Explorer 6.0 sei die Lücke bereits behoben.
Das Starten der Beilage (automatisch oder manuell durch den Doppelklick des Benutzers) bewirkt (nur in englischen Windows-Versionen), dass sich der Wurm unter dem Dateinamen "Setup.exe" in den Autostart-Ordner im Startmenü oder in den Windows-Ordner kopiert.
Anschliessend sucht er im Windows Adressbuch und in allenfalls vorhandenen Outlook Express Mail-Datenbanken (in Dateien mit Endung DBX) nach E-Mail-Adressen und verschickt sich automatisch an diese. Anders als viele bisher bekannte Würmer, scheint W32.Frethem im Absender-Feld dieser Mails stets die richtige Mail-Adresse des Benutzers zu verwenden.
Die Variante A von W32.Frethem trägt diese Kennzeichen:
Betreff: "Re: Do your Windows looks like Windows XP? I have found very nice desktop themes!"
Mail-Text: "Hello!
Do you like modern design of new Windows XP?! I have found FREE
and easy to use desktop themes!
You can open attach with web site and samples! Enjoy it!!!"
Beim Namen der Beilage missbraucht der Wurm den Umstand, dass ausführbare Dateien auch eine .com-Endung haben können, genau wie manche Webseiten. Der Dateiname lautet: www.freethemes.com
Die Variante E trägt diese Kennzeichen:
Betreff: "Re: Your password!" (oder kein Betreff)
Der Mail-Text dieser Variante (in roter Schrift auf weissem Hintergrund) lautet:
ATTENTION!
You can access very important information by this password
DO NOT SAVE password to disk
use your mind
now press cancel
Die Beilage heisst: "decrypt-password.exe", oft noch begleitet von einer Datei namens "password.txt", die nur eine Textzeile enthält.
Gemäss Informationen des Labors von Norman Virus Control [1] scheint der Wurm zudem einige Webserver zu kontaktieren und dort ein CGI-Script zu steuern. Noch sei nicht klar, was dies bezwecke.
Die Variante K trägt die selben Merkmale wie E.
Diese Variante ist verhältnismässig weit verbreitet. Dieser Wurm legt eine Datei namens Taskbar.exe in den Windows-Ordner ab. Diese Datei wird in diesen beiden Registry-Schlüsseln eingetragen, um sicher zu stellen, dass der Wurm bei jedem Windows-Start mitgeladen wird:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Eintrag: Task Bar=C:\Windows\Taskbar.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Eintrag: Task Bar=C:\Windows\Taskbar.exe
Gemäss Informationen einiger Antivirus-Labors erstellen manche Varianten des Wurms auch eine bis zwei INI-Dateien im Windows-Ordner (z.B. winstat.ini, status.ini oder win64.ini). Anders an anfänglich vermutet, besitzen einige dieser Frethem-Varianten auch so genannte "Backdoor"-Eigenschaften. Der Wurm ist fähig, sich via Internet zu aktualisieren und erlaubt auf dem infizierten PC ein Ausführen von unerwünschten Befehlen oder den Download weiterer Programmdateien, welche die Backdoor-Komponente des Wurms mit zusätzlichen Eigenschaften versehen können.
Um den Wurm loszuwerden, müssen Sie ihn zuerst aus dem Arbeitsspeicher entfernen, damit Sie die Datei löschen können: Unter Windows 9x/ME öffnen Sie den Taskmanager mit der Tastenkombination CTRL-ALT-DELETE. Unter Windows NT/2000 oder XP verwenden Sie die Tastenkombination CTRL-SHIFT-ESC. In der Liste der aktiven Programme (bei Windows NT/2000/XP unter "Prozesse") klicken Sie den Task "Setup" (oder "Task Bar") an und anschliessend die Schaltfläche "Task beenden" bzw. "Prozess beenden". Bestätigen Sie allfällige Rückfragen des Systems. Entfernen Sie auch die Registry-Einträge, die der Wurm erstellt hat.
Scannen Sie Ihre Festplatte mit einem frisch aktualisierten Virenscanner und entfernen Sie die als infiziert gemeldeten Dateien. Führen Sie ein Windows-Update durch und vergessen Sie auch nicht, die virenhaltige Mail zu löschen.
Weitere Infos finden Sie zum Beispiel auch bei F-Secure [2] oder Sophos [3].



Kommentare
Es sind keine Kommentare vorhanden.