Panda Software Wochenrückblick KW 3/2004

Rückblick über die Malware Aktivitäten der vergangenen Woche
(PresseBox) (Duisburg, ) Der heutige Wochenrückblick über die Malware-Aktivitäten der Woche vom 17.01. – 21.01.2005 beschäftigt sich neben den Würmern Bropia.A, Zar.A, sowie MyDoom.AE mit Gaobot.batch.

Bropia.A

Vollständiger Name: W32/Bropia.A.worm
Alias: W32.Bropia, W32/Bropia.worm, Win32.Bropia.A
Zum ersten Mal entdeckt: 20.01.2005
Infizierte Plattformen: Windows 2003/XP/2000/NT/Me/98/95
Bedrohungspotential: Gering
Im Umlauf? Nein
Programmiersprache: Visual Basic v6.0
Dateigröße: 159,744 bytes

Bropia.A verbreitet sich mit Hilfe des MSN Messenger und infiziert Systeme indem er den Wurm W32/Gaobot.CPC.worm installiert.

Des weiteren verhindert der Wurm die Ausführung des Task-Managers sowie des Command Prompts indem es die relevanten Dateien (Taskmgr.exe, CMD.exe) überschreibt, setzt die Tastenkombination „Ctrl+Alt+Entf“ und die Funktionen der rechten Maus-Taste außer Kraft.

Bropia.A kopiert sich selber auf das C-Laufwerk des infizierten Systems und benennt diese Kopien wie folgt: DRUNK_LOL.PIF, LOVE_ME.PIF, NAKED_PARTY.PIF, SEXY_BEDROOM.PIF und WEBCAM_004.PIF

Der Wurm prüft ob der MS Messenger aktiv ist. Ist dies der Fall so kopiert er sich erneut und versendet sich mit Hilfe dieser Datei selbstständig an die gefundenen Kontakte.

Sichtbare Hinweise (Bildschirmmeldungen o.ä.) gibt es bei einer Infizierung durch Bropia.A ebenso wenig wie Registry Einträge. Sollte der Taskmanager und der Befehl CMD.exe nicht mehr ausführbar sein und die rechte Mouse-Taste nicht mehr funktionieren, so kann man von einer Infizierung ausgehen.

Weitere technische Details zu Bropia finden Sie hier: http://www.pandasoftware.com/...
________________________________________

Zar.A

Vollständiger Name: W32/Zar.A.worm
Alias: WORM_Zar.A, W32/VBSun-A, W32/Zar.A@mm
Zum ersten Mal entdeckt: 18.01.2005
Infizierte Plattformen: Windows 2003/XP/2000/NT/Me/98/95
Bedrohungspotential: Gering
Im Umlauf? Ja
Programmiersprache: Visual Basic v6.0
Dateigröße: 20,4850 bytes

Zar.A versucht eine DoS (Denial of Service) Attacke gegen die Webseite www.hacksector.de zu starten und benutzt dazu den „ping“ Befehl.

Zar.A verbreitet sich via E-Mail und versucht mit Hilfe der Tsunami Katastrophe, welche den asiatischen Raum im Dezember 2004 heimsuchte, Aufmerksamkeit zu erlangen.
Folgende Betreffzeile wird dabei von dem Wurm genutzt: „Tsunami Donation! Please help!“
Die Nachricht sieht folgendermaßen aus: „Please help us with your Donation and view the attachement below! We need you!“
Die angehangene Datei heißt: „Tsunami.exe“

Der Wurm kreiert folgende Dateien und schreibt sich in die Windows Registry um sicher zu stellen, dass er bei jedem Systemstart geladen wird: CRSSR.EXE, RAZ32.EXE, TSUNAMI.EXE

Weitere technische Details zu Zar.A finden Sie hier: http://www.pandasoftware.com/...
________________________________________
MyDoom.AE
Vollständiger Name: W32/MyDoom.AE.worm
Alias: W32/MyDoom.ap@MM, W32/MyDoom-AA, I-Worm.MyDoom.AE
Zum ersten Mal entdeckt: 15.01.2005
Infizierte Plattformen: Windows 2003/XP/2000/NT/Me/98/95
Bedrohungspotential: Gering
Im Umlauf? Nein
Programmiersprache: Visual Basic v6.0
Dateigröße: 31,744 bytes gepackt mit UPX oder 96,140 bytes entpackt

MyDoom.AE verändert die Windows Host Datei und verhindert so den Zugriff auf Webseiten diverser Antiviren-Hersteller. Somit stellt er sicher, dass keine Aktualisierung erfolgen kann. Des weiteren schaltet er die Prozesse diverser Antivirenlösungen ab und hinterlässt ein verwundbares System. Die Verbreitung erfolgt mittels peer-to-peer Netzwerke und via E-Mail.

Der Wurm lädt weitere Malware aus dem Internet herunter und installiert diese. Anschliessend öffnet er „notepad“ und zeigt einen zufälligen Text auf dem Bildschirm an.

MyDoom.AE erzeugt folgende Kopie von sich selbst auf dem infizierten System: LSASRV.EXE und erstellt die Datei HSERV.SYS im Windows System Verzeichnis. Diese Datei beinhaltet keinen ausführbaren Code. Die Datei Version,ini gibt Aufschluß über die aktuelle Version des Wurmes und MES#WTELW im temporären Verzeichnis enthält zufälligen Text.

Weitere technische Details zu MyDoom.AE finden Sie hier: http://www.pandasoftware.com/...
________________________________________
Gaobot.batch

Vollständiger Name: W32/Gaobot.batch
Alias: k.A.
Zum ersten Mal entdeckt: 19.01.2005
Infizierte Plattformen: Windows XP/2000/NT/Me/98/95
Bedrohungspotential: Hoch
Im Umlauf? Ja
Programmiersprache: Visual Basic v6.0
Dateigröße: 105 bytes

Die Varianten des Gaobot Wurmes nutzen nahezu alle Komunikationskanäle um sich zu verbreiten. Einige Varianten besitzen ebenfalls die Fähigkeit Dateien aus dem Internet herunter zu laden und so Systeme zu schädigen und den infizierten PC „fernzusteuern“. Die Gaobot Batch Datei löscht die Ursprungsvariante des Wurmes, sofern diese auf dem Computer vorhanden ist und installiert eine neuere Variante des Schädlings.

Weitere technische Details zu Gaobot.batch finden Sie hier: http://www.pandasoftware.com/...

Detaillierte Informationen zu den hier nicht erwähnten Viren, Würmern und Trojanern, sowie Echtzeit-Vireninformationen finden Sie hier: http://www.pandasoftware.com/...

Kontakt

Panda Security Germany
Dr. Alfred-Herrhausen-Allee 26
D-47228 Duisburg
Markus Mertes
Presse / Marketing
Bereichsleiter New Business
Social Media