WINDOWS-VIREN

INTERNET-WÜRMER

LINUX-VIREN

WINDOWS-VIREN

Win32.HLLW.Showgame

Ein gefährliches residentes Win32-Virus. Es infiziert keine Dateien, sondern wird ganz übertragen, als eine 70 KB *exe Windows-Datei. Das Virus kopiert sich in drei Dateien:

WINDOWS.EXE im Systemverzeichnis von Windows
WINXYZ.EXE im Hauptverzeichnis von Windows
SHOWGAME.EXE im Laufwerk A:

Wird von einer infizierten Diskette (wenn die Datei A:\SHOWGAME.EXE ausgeführt wird) gestartet, kopiert sich das Virus in das System unter den oben genannten Namen und registriert sich im Schlüssel des automatischen Starts in der Systemregistry:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
wwindll = %SystemDir%\winxyz.exe /run"

Das Virus bleibt resident im Arbeitsspeicher und fungiert versteckt im Hintergrund. Wenn es feststellt, dass auf das Laufwerk A: zugegriffen wird, kopiert es sich auf dieses Laufwerk unter dem Namen SHOWGAME.EXE. Zu dieser Datei werden folgende Attribute gesetzt: "nur Lesezugriff", "Systemdatei", "hidden".

Am 26. jedes Monats löscht das Virus den Inhalt aller Dateien im Wurzelverzeichnis C: Dabei bleiben nur die Namen von Dateien erhalten, deren Länge ist aber gleich Null.

Das Virus ändert auch den Schlüssel der Systemregistry:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState FullPath = 1

In der russischen Version von Windows lässt das Virus samstags eine weite Ellipse am Bildschirm erscheinen.

INTERNET-WÜRMER

I-Worm.DragonBall

Ein Skript, das in der Programmiersprache VBS geschrieben wurde. Dieser Internet-Wurm wird per eMail verschickt. Dabei befällt er sowohl Microsoft Outlook als auch IRC-Kanäle (Internet Relay Chat). Der Wurm weist mehrere fatale Fehler auf, weswegen er sich nicht weiter verbreiten kann.

Beim Aufruf des Skripts erstellt es seine Kopien in den folgenden Systemverzeichnissen:

C:\Windows\Winsock.vbs
C:\Windows\Sysdir.vbs
C:\Windows\System\millioner.vbs
C:\Windows\System\DragonBall.vbs
C:\Windows\System\DragonBall.cab

Es erzeugt auch drei Skripten im Verzeichnis, in dem IRS installiert wird:

C:\mIRC\mirc.ini
C:\mIRC\script.ini
C:\mIRC\update.ini

Die Scripte für IRC dienen dafür, das sich der Wurm über IRC-Chnanels verbreiten könnte. Da die Namen der Verzeichnisse "C:\Windows" und "C:\mIRC" im Wurm-Körper festgelegt sind, kann der letztere diese Prozeduren nicht ausführen, falls das Betriebssystem und IRC in anderen Verzeichnissen installiert wurden.

Anschließend ändert der Wurm mehrere Schlüssel der Systemregistry und der Datei WIN.INI. Des Weiteren erzeugt er zwei Schlüssel in der Registry:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"winsock2.0"="C:\\Windows\\winsock.vbs"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"sysup"="C:\\Windows\\sysdir.vbs"

und ändert die Werte von zwei Parametern in der Datei WIN.INI:

[windows]
load=C:\Windows\System\DragonBall.vbs
run=C:\Windows\System\millioner.vbs

Dadurch wird der Wurm jedes Mal mit aufgerufen und ausgeführt, wenn das Betriebssystem gestartet wird. Zudem ändert dieser Wurm zwei weitere Schlüssel in der Systemregistry:

[HKLM\Software\Microsoft\Windows\CurrentVersion]
"RegisteredOwner"="Dragon Ball Z by YuP"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://bdball.metropoli2000.net/fotos/imagenes/sagas/foto7_40.jpg"

Das hat zur Folge, dass bei jedem Start von Internet Explorer ein Bild von der in der Registry festgelegten Webseite erscheinen wird.

Danach aktiviert der Wurm die Prozedur der eigenen Verbreitung. Dafür öffnet er das Adressbuch von MS Outlook, und generiert für jede vorhandene Adresse einen Brief mit dem folgenden Inhalt:

Betreff: Hello ;]
Text: Hi , check out this game that j sent you (funny game from the net:])
Attach: dragonball.vbs

Der Wurm versucht, zu jedem Brief eine Datei mit dem eigenen Body anzuhängen. Da der Virus-Body Fehler enthält, ist die Verbreitungsprozedur nicht funktionsfähig, deswegen kann sich der Wurm nicht per eMail verbreiten.

Zu guter Letzt gibt der Wurm das nachstehende Dialogfenster am Bildschirm aus:

Nachdem der Benutzer dieses Fenster schließt, schaltet der Wurm die Tastatur und die Maus ab, startet MediaPlayer und lässt es ein Klipp vorspielen, das von der folgenden Adresse im Internet stammt:

http://bdball.metropoli2000.net/mmedia/videos/clips/dballz/gokuhss1.mpg

Danach ändert der Wurm den Inhalt der Datei AUTOEXEC.BAT, indem er da mehrere Zeilen hinzufügt:

@ECHO ON
ECHO DraGon Ball [Z] by YuP
ECHO Thank you and bye bye dragon world!!

VBS.Mcon.b

Dieser Netzwurm verbreitet sich, indem er eigene Kopien auf den lokalen und im Netzwerk befindlichen Speichermedien erzeugt, sowie beim Scannen der Netzwerke auf die zugänglichen IP-Adressen.

Wird er (durch den Benutzer oder automatisch aus dem Verzeichnis des automatischen Starts) aufgerufen, kopiert sich der Wurm in das Schriften-Verzeichnis von Windows (Verzeichnis "Fonts"). Danach fügt er die kopierte Datei in die Systemregistry so ein, dass diese Datei jedesm Mal beim Windows-Start auch automatisch gestartet wird. Wenn der Wurm nicht von den Verzeichnissen "Fonts" und "Startup" gestartet wurde, bricht er die Arbeit ab, indem er einen Systemfehler vormacht und am Bildschirm die folgende Meldung ausgibt:

ERROR
FILE I/O ERROR

Wurde der Wurm von dem Verzeichnis "Fonts" (beim Windows-Start) gestartet, startet er seine Verbreitungsprozedur. Diese Prozedur scannt alle lokalen und im Netzwerk befindlichen Speichermedien des Computers und erzeugt in jedem Verzeichnis je eine Kopie der Wurm-Datei. Der Name der Datei wird folgendermaßen ausgewählt: aus der Liste von zuletzt verwendeten Dateien (Recent files) wird willkürlich eine Datei ausgewählt, an deren Namen werden über ein Hundert von Leerzeichen hinzugefügt, und erst danach die Extension ".vbs". Das hat zur Folge, dass die Endung ".vbs" zwischen den Leerzeichen versteckt wird, und angezeigt wird.

Nach dem Scannen von Datenträgern scannt der Wurm das Netzwerk. Er wählt zufällig eine IP-Adresse aus, falls diese nicht zugänglich ist, wird die nächste ausgewählt. Wenn die Adresse nicht zugänglich ist, kopiert sich der Wurm in diese.

Falls beim Scannen von Datenträgern der Wurm ein Verzeichnis, in dessen Namen die Zeile "mirc" enthalten ist, findet, erzeugt er die Datei SCRIPT.INI. Das Skript-Programm in dieser Datei wird automatisch beim Start des MIRC-Clients ausgeführt. Das Script, das von dem Wurm gespeichert wurde, scannt das Netzwekr, wie oben beschrieben. Wenn der Wurm eine zugängliche IP-Adresse ausfindig macht, schickt der Wurm eine Kopie an diese Adresse.

In einem von Tausenden von Fällen ( je nach dem Zähler von zufälligen Zahlen) ändert der Wurm die Startseite von Internet Explorer zu "http://www.zonelabs.com/".

I-Worm.Challenge

Der Wurm verwendet für die eigene Verbreitung das Mailprogramm MS Outlook Express 5. Im Unterschied zu den meisten Würmern dieser Kategorie hängt er keine Attachements an die virenverseuchte Nachricht an. Anstatt dessen baut er seinen Code in die Nachricht als ein Script-Programm ein.

Der Wurm ist voll funktionsfähig nur unter Systemen mit dem installierten MS Outlook Express. Im MS Outlook wird der Wurm aktiv und befällt das System, kann jedoch nicht sich weiter verbreiten. Unter den anderen Mailsystemen hängt die Funktionsfähigkeit des Wurmes von den Möglichkeiten dieses Mailsystems ab.

Die Arbeitsweise dieses Wurmes ist, im Grunde genommen, der des bekannten Wurms "KakWorm" ähnlich, abgesehen davon, dass dieser Wurm von der Windows-Version und deren Sprache nicht abhängig ist (bekanntlich funktioniert KakWorm entweder in der englischen oder französischen Version von Windows 95/98).

Der Wurm gelang auf Rechner als ein HTML-Brief. Der Brief-Body enthält ein Script-Programm, das den eigentlichen Wurm-Code darstellt. Als Resultat kann das Script-Programm beim Öffnen oder bei der Vorschau der Nachricht nicht gesehen werden, da Scripte nie in HTML-Dokumenten (Nachrichten, Seiten usw.) angezeigt werden, erhält aber die Kontrolle, und der Wurm wird aktiv.

Der Wurm befällt das System in drei Etappen:

1. Erstens erstellt er eine eigene Kopie im Verzeichnis des automatischen Starts von Windows (alle Programme aus diesem Verzeichnis werden automatisch beim Windows-Start ausgeführt).

2. Wurde der Wurm aus dem Verzeichnis des automatischen Starts gestartet, kopiert sich der Wurm in das Systemverzeichnis von Windows und installiert sich in der Systemregistry im Beriech des automatischen Starts. Anschließend entfernt er sein erstes Exemplar (Kopie) aus dem Verzeichnis des automatischen Windows-Starts.

3. In den Schlüsseln der MS Outlook Express-Registry erzeugt der Wurm eine neue Unterschrift für Briefe. Diese Unterschrift bezieht sich auf die Datei mit dem Wurm-Code. Seit diesem Zeitpunkt wird Outlook Express selbst den Wurm-Code in alle ausgehenden Briefe.

Mails mit den Formaten RTF oder "Plain text" werden bzw. können nicht infiziert werden.

Das regelmäßige Scannen von Speichermedien mit Antiviren-Scannern kann einen sicheren Schutz vor dieser Kategorie von Viren gewähren: jedes Mal, wenn die virenverseuchte Nachricht geöffnet wird, infiziert das Virus das System wieder. Darüber hinaus genügt es, falls der Vorschau-Modus aktiviert ist, die virenverseuchte Nachricht in der Nachrichtenliste auszuwählen, hierbei wird das Virus wiederum aktiv.

1. Zum Schutz gegen diesen Wurm kann man Antiviren-Monitoren (on-access scanner) verwenden. Sie sind in der Lage, den Wurm bei dessen Installation auf Datenträgern abzufangen, und auf solche Weise die Infizierung des Systems zu verhindern. Jedoch sind sie nicht im Stande, die Aktivierung des Scripts aus der HTML-Nachricht zu verhindern, da HTML-Scripte im Arbeitsspeicher des Computers ausgeführt werden, ohne dass sie auf einem Datenträger abgespeichert werden.

Es empfiehlt sich daher, neben Antiviren-Monitoren auch Utilities (Kaspersky Anti-Virus Script Checker) zu verwenden, die Script-Programme unmittelbar vor deren Ausführung überprüfen. Diese Programme verhindern Aktivierung bösartiger Scripte, und garantieren damit, dass das betroffene Script das System weder infizieren noch beschädigen wird.

2. Für die Installation seiner Dateien auf Datenträgern nutzt der Wurm eine Sicherheitslücke von Microsoft Virtual Machine aus. Die Firma Microsoft hat einen Patch freigegeben, der diesen Sicherheitsfehler beheben soll. Wir empfehlen Ihnen, die Webseite http://www.microsoft.com/technet/security/bulletin/MS00-075.asp zu besuchen und sich diesen Patch einzuspielen. Damit können Sie sich vor vielen Script-Würmern sicher schützen.

I-Worm.Rastam

Ein Internet-Wurm, der sich per eMail verbreitet. Dabei befällt er das Mailsystem Eudora.

Der Wurm gelangt auf Rechner meistens als ein Brief mit dem Text "Help us go back to home!", mit einer angehängten DOS COM-Datei "www.back2afrika.com" (das Virus tarnt sich als URL-Adresse einer Internet-Seite).

Klickt der Benutzer auf die angehängte Datei, erhält der Wurm die Kontrolle, erstellt in einem provisorischen Verzeichnis eine EXE-Datei mit einem beliebigen Namen und führt diese aus. Diese EXE-Datei ist die Hauptdatei des Wurmes, mit Hilfe dieser Datei erfolgt die weitere Infizierung des Systems: sie registriert ihren Text und das COM-Attachement (sieh. oben) wie eine automatisch generierte Unterschrift des Mail-Clients Eudora. Dies hat zur Folge, dass alle ausgehenden Briefe mit einer Kopie des Wurmes infiziert werden.

Der Wurm-Code enthält die folgenden Zeilen:

RASTAMAN
SOFTWARE\CLIENTS\MAIL\EUDORA\SHELL\OPEN\COMMAND
EUDORA.INI
Use
Signature
Settings
Help us go back to home!
begin 644 www.back2afrika.com
Haile Selassie is Jesus Christ!
(tehporp sih si anceV dnA)

Die letzte Zeile ist ein Text "And Vecna is his prophet", der andersrum geschrieben wurde.

Die bekannte Version des Wurms enthält aber einen Fehler und ist zur Verbreitung nicht fähig.

I-Worm.Xanax

Der Wurm verbreitet sich per eMail. Dabei verwendet er das Mailsystem Microsoft Outlook. Wird der Wurm ausgeführt, verschickt er sich von den befallenen Computern aus an alle Adressen, die er im Adressbuch von Outlook findet.

Der Wurm verbreitet sich auch über IRC-Kanäle und infiziert EXE-Dateien im Windows-Verzeichnis.

Der Wurm wurde in der Programmiersprache C++ geschrieben und mit Microsoft Visual C++ kompiliert. Der Wurm ist ca. 60 K groß, er wurde aber komprimierter gefunden (komprimiert mit dem Utility ASPack), die Größe der komprimierten Datei beträgt etwa 34 K.

Beim Start kopiert sich das Virus in das Windows-Systemverzeichnis unter den Namen XANAX.EXE und XANSTART.EXE. Die Datei XANSTART.EXE wird im Schlüssel des automatischen Starts der Systemregistry registriert:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Default = %winsystem%\xanstart.exe

Dabei steht %winsystem% für den Namen des Windows-Systemverzeichnisses.

Um virenverseuchte Mails verschicken zu können, erstellt der Wurm eine zusätzliche VBS-Datei und schreibt in diese Datei ein Script-Programm, das anschließend Zugang zu MS Outlook erlangt und das Adressbuch öffnet. Des Weiteren liest es da je 1000 Adressen aus jeder Adressenliste aus und verschickt an diese Adressen Mails mit einer angehängten Wurmkopie. Betreff, Mailtext und Name der angehängten Datei sehen wie folgt aus:

Subject: Stressed? Try Xanax!
Body:

Hi there! Are you so stressed that it makes you ill? You're not alone!
Many people suffer from stress, these days. Maybe you find Prozac too
strong? Then you NEED to try Xanax, it's milder. Still not convinced?
Check out the medical details in the attached file. Xanax might change
your life!

Attachments: xanax.exe

Der Wurm infiziert alle EXE-Dateien im Windows-Verzeichnis, bis auf Dateien, deren Namen mit den Buchstaben: E, P, R, S, T oder W anfangen. Bei Infizierung "verschiebt" der Wurm den Körper der betroffenen Datei nach unten, der Wurm selbst kopiert sich an den Beginn der Datei.

Der Wurm sucht mIRC auf Laufwerken des installierten Clients. Dabei wird in den folgenden Verzeichnissen gesucht:

\mirc
\Program Files\mirc

auf den Laufwerken C:, D:, E: è F:

Wird ein mIRC-Client entdeckt, erzeugt der Wurm im selben Verzeichnis eine Datei mit dem Namen SCRIPT.INI. Diese Datei enthält mIRC-Kommandos, die die Wurm-Datei (Datei XANAX.EXE) an alle Benutzer verschicken, die an den infizierten Kanal angeschlossen sind.

Wird der Wurm von einer Datei gestartet, in deren Namen der vorletzte Buchstabe ein 'R' (xxxRx.EXE) ist, gibt der Wurm die folgende Meldung aus:

Da das oben Gesagte auf den Dateinamen XANSTART.EXE zutrifft, und diese Datei in der Systemregistry im Bereich des automatischen Starts registriert ist, wird diese Meldung am Bildschirm bei jedem Windows-Start erscheinen. Der Wurm erstellt zusätzliche Dateien im System:

Im Windows-Systemverzeichnis: HOSTFILE.EXE
Im Windows-Verzeichnis: WINSTART.BAT, XANAX.SYS

Die Datei HOSTFILE.EXE ist eine Datei, die virenverseuchte Dateien bei deren Start "heilen" soll. Der Wurm fügt in sie eine Lgeheilte" Kopie des Datei-Trägers ein und führt diese aus.

Die Datei XANAX.SYS enthält den folgenden Text:

Win32.HLLP.Xanax (c) 2001 Gigabyte

Die Datei WINSTART.BAT enthält BAT-Kommandos, die den folgenden Text am Bildschirm erscheinen lassen:

Do not take this medication with ethanol, Buspar (buspirone), TCA antidepressants, narcotics, or other CNS depressants. This combination can increase CNS depression. Be sure not to take other sedative, benzodiazepines, or sleeping pills with this drug. The combinations could be fatal. Do not smoke or drink alcohol when taking Xanax. Alcohol can lower blood pressure and decrease your breathing rate to the point of unconsciousness. Tobacco and marijuana smoking can add to the sedative effects of Xanax.

LINUX-VIREN

Linux.Satyr

Ein harmloses, non-residentes Linux-Virus. Es ist eine ausführbare Linux-Datei (ELF-Datei). Der Wurm sucht nach anderen ELF-Dateien und hängt sich an deren Anfang. Dabei werden Dateien in den folgenden Verzeichnissen befallen:

Im aktuellen Verzeichnis
Im Eltern-Verzeichnis
~/ (Wurzelverzeichnis des Benutzers)
~/bin (Verzeichnis /bin des Benutzers)
~/sbin (Verzeichnis /sbin des Benutzers)
/bin
/sbin
/usr/bin
/usr/local/bin
/usr/bin/X11

Der Wurm hat keine Schadfunktion. In seinem Code ist die Zeile "Copyritht" enthalten:

unix.satyr version 1.0 (c)oded jan-2001 by Shitdown [MIONS], http://shitdown.sf.cz