News 25.11.2002, 16:15 Uhr

W32.Winevar

Ein sehr unfreundlicher Wurm, der dazu noch einen Virus im Gepäck hat.
Zwei Schädlinge in einem - dies wird in letzter Zeit bei böswilligen Virenschreibern immer populärer. Der zerstörerische Wurm namens Winevar trifft in einer Mail mit folgenden Kennzeichen ein:
Betreff: Re: AVAR(Association of Anti-Virus Asia Reseachers)
oder: N`4? ("Trand Microsoft Inc.")
oder: N`4? ("Firmenname des Absenders")
Mail-Text:
AVAR(Association of Anti-Virus Asia Reseachers) - Report.
Invariably, Anti-Virus Program is very foolish.
oder der auf dem infizierten Absender-PC eingetragene Name und Firmenname.
Beilagen:
WIN (irgendwelche Zeichen).TXT (12.6 KB) MUSIC_1.HTM
WIN (irgendwelche Zeichen).GIF (120 bytes) MUSIC_2.CEO
WIN (irgenwelche Zeichen).PIF
Der Schädling versucht die Mailbeilage automatisch auszuführen, sobald der Empfänger die Mail liest. Dies könnte ihm gelingen, wenn auf dem PC eine schon länger bekannte Sicherheitslücke (JS.Exception.Exploit/IFRAME) nicht gestopft wurde.
Wird der Wurm ausgeführt, legt er Dateien mit Namen "WIN(irgendwelche Zeichen).PIF" im System-Ordner ab. Diese Datei trägt er in diesen beiden Registry-Schlüsseln ein:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
und
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Unter Windows 9x und Windows Me trägt der Wurm die abgelegte Datei zusätzlich an dieser Stelle ein:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Ebenfalls in den Systemordner pflanzt der Winevar-Wurm noch den Funlove-Virus [1]. Im Unterschied zur ersten Funlove-Variante heisst die Datei AAVAR.PIF anstatt FLCSS.EXE. Und auf dem Desktop des Benutzers landet in einigen Fällen noch eine Kopie des Wurms, diesmal mit dem Dateinamen EXPLORER.PIF.
Jetzt gehts zum Schadens-Teil: Der Wurm deaktiviert laufend allenfalls gestartete Antiviren-Programme und durchsucht alle Partitionen des infizierten PCs nach Dateien und Ordnern, deren Name diese Zeichenfolgen enthalten:
antivirus
cillin
nlab
vacc
Für manche Windows-Installationen ist spätestens hier Schluss: Wird der Bösewicht fündig, löscht er alle Dateien auf der Festplatte und eine Neuinstallation ist fällig.
Ist eine Internet-Verbindung aufgebaut, verschickt sich der Wurm mit den eingangs genannten Eigenschaften an alle Adressen, die er in Outlook Express Mail-Datenbanken (DBX-Dateien) oder in auf der Festplatte gespeicherten HTM-Dateien findet.
In manchen Fällen zeigt er diese Dialogbox mit einer OK-Schaltfläche an:
Titel: Make a fool of oneself
Text: What a foolish thing you have done!
Der Winevar-Wurm versucht zudem dauernd die Startseite von Symantec (www.symantec.com) in die temporären Internet-Dateien zu laden und gleich wieder zu löschen. Dies ist als Versuch zu werten, den Symantec-Server in die Knie zu zwingen, sollte der Wurm eine erhebliche Verbreitung erlangen.
In diesem Registry-Schlüssel speichert der Winevar-Wurm übrigens die Adressen, an die er sich verschickt hat:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataFactory
Unbedingt Ansteckung vermeiden:
Die Merkmale des Wurms könnten sich in den nächsten Varianten noch erheblich ändern. Stellen Sie sicher, dass Sie alle wichtigen Windows-Updates installiert haben, Ihren Virenscanner täglich auf den neuesten Stand bringen und keine Beilagen ausführen, die Sie nicht explizit angefordert oder erwartet haben. Verwenden Sie Programme, die nicht von den Sicherheitslücken betroffen sind.
Um den Wurm loszuwerden, scannen Sie alle Laufwerke und lassen Sie die Dateien löschen, die als Winevar oder JS.Exception.Exploit erkannt werden. Falls der Wurm unter Windows ME und Windows XP stets zurückkommt, sollten Sie die Systemwiederherstellung ausschalten, den Wurm beseitigen, nach dem nächsten PC-Start die Laufwerke nochmals genau durchscannen und die Systemwiederherstellung wieder einschalten.
Informationen über diesen Schädling finden Sie auch bei den Antivirus-Herstellern, zum Beispiel bei Symantec [2], F-Secure [3] oder Trend Micro [4].



Kommentare
Es sind keine Kommentare vorhanden.