| "Autor" |
ANTS 3.0 Wurm - VIRUS! |
|
|
|
geschrieben am: 25.10.2001 um 16:48 Uhr
|
|
ANTS 3.0 Wurm
Seit dem 23.10.2001 wird im Internet ein Wurm verbreitet, der sich quasi unaufhaltsam über den gesamten Erdball verbreitet hat. Der Wurm gibt vor ANTS 3.0 zu sein und in fast allen Fällen werden meine Kontaktdaten für den Absender benutzt.
Ich sehe den Wurm als Anschlag auf meine Person und auf ANTS.
Analyse ANTS 3.0 Wurm:
Der Wurm an sich ist sehr sauber und effizient programmiert. Der "Autor" hat damit ganze Arbeit geleistet. Er ist unter allen Windows-Systemen lauffähig, benötigt keinen Mailclienten und ist dabei relativ klein.
Sobald der Wurm gestartet wurde, beginnt er sich zu tarnen. Er versteckt Fenster und Prozessnamen von sich selbst in dem er sie zufällig umbenennt. Danach infizierter den Rechner. Dabei kopiert er sich unter einem zufälligen Namen ins Windows-Verzeichnis. Der Name ist nicht festgelegt und wird ständig neu gewählt. Sollte das geschehen sein, trägt sich der Wurm in den Registryschlüssel HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce ein. Der Wertname wird ebenfalls zufällig bestimmt. Tückisch daran ist folgendes:
Bei jedem Start sitzt der Wurm in einer anderen Datei und nutzt einen anderen Wertenamen im Registryschlüssel. Dadurch ist eine Manuelle Entfernung fast ausgeschlossen und für den normalen User kaum durchzuführen.
Nachdem der PC erfolgreich infiziert wurde, wird eine Liste aller verfügbaren SMTP Server erstellt. Der Wurm scannt dabei die Registry des Opfers ab. Zusätzlich zu den SMTP Servern des "Opfers" nutzt der Wurm folgende 8 anonymen Server:
200.52.69.2
200.52.69.9
193.92.94.226
12.34.208.35
195.229.189.2
toad.com
196.40.0.82
196.40.0.90
Nachdem die Serverliste erstellt wurde, wird die Adressenliste erstellt. Dabei wird zuerst das Adressbuch von Outlook gescannt. Danach wird das Laufwerk C nach Dateien durchsucht, die eine der folgenden Bedingungen beim Dateinamen erfüllen:
*.php*
*.htm*
*.shtm*
*.cgi*
*.pl*
Die gefunden Dateien werden danach nach Mailadressen hin untersucht, die dann der Adressenliste hinzugefügt werden.
Sollte auch das erledigt sein, beginnt der Wurm sich selbst zu verschicken. Zuerst wird getestet ob eine Netzwerkverbindung verfügbar ist. Falls ja, beginnt das "Weiterversenden". Dazu kopiert er sich kurzzeitig in die Datei "c:ants3set.exe". Danach wählt er zufällig einen Server aus der Liste aus.
Je nachdem ob es sich bei dem ausgewählten Server um einen der "mitgelieferten" anonymen oder um einen aus der Registry ermittelten handelt agiert der Wurm anders.
Sollte es sich um einen anonymen Server handeln, wird der Absendername auf "Andreas Haak" und Absender- sowie die Antwortadresse auf "[email protected]" gesetzt. Sollte es sich nicht um einen anonymen Server handeln, wird der Absendername zwar ebenfalls auf "Andreas Haak" gesetzt, die Absender- und die Antwortadresse wird dagegen durch die zum
SMTP-Server passende ersetzt, da sonst die Gefahr bestünde, daß die Mail zurückgewiesen wird.
Danach die "Nachricht" verfasst, so daß sie folgender Maßen aussieht:
Mail-Titel: ANTS Version 3.0
Mailtext:
"Hi,
Anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen
kostenlosen Trojanerscanner. Zum installieren einfach die angefügte Datei
ausführen.
Attached you will find the brand new Version 3.0 of ANTS, the unique
freeware trojan scanner. To install ANTS simply run the attached setup file.
Adieu, Andreas
[email protected]
Link
Danach wird die Datei angehängt. Sie heißt immer ANTS3SET.EXE. Zu guter letzt trägt der Wurm die Empfänger der Mail ein. Dabei werden alle aus der Adressenliste ins Feld "BCC:" eingetragen. Der erste der Adressenliste landet in "To:". Das Verhalten ist in so fern "intelligent", da der Virus
durch das versenden von nur einer Mail quasi hunderten von Leuten die infizierte Datei zuschickt.
Als letztes wird die Mail abgeschickt. Nachdem sie abgeschickt wurde, wird die Datei "C:ants3set.exe" wieder gelöscht. Zudem wird ein Timer aktiv, der dafür sorgt, daß die Prozedur des Versendens in 5 Minuten wiederholt wird.
Zur Verbreitung:
Derzeit ist der Wurm innerhalb von wenigen Stunden weltweit gesichtet worden. Einige große Firmen scheinen den Wurm auch erhalten zu haben und sind mitunter bereits infiziert. Dazu gehören z.B.
Telekom
Microsoft
Activision
3dfx
Intel
IBM
Corel
Dadurch das der Wurm die Adressen aus den HTML-Dateien auf dem Laufwerk C nutzt ist zu erwarten, daß eine sehr schnelle "Streuung" geben wird. Da einige Hersteller ihre Programme mit HTML Anleitungen liefern oder Anleitungen in Form von HTML verfügbar sind, werden darin enthaltene Adressen ebenfalls für die Ausbreitung verwendet.
weitere Info: Link
----
MfG Chatfix |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 26.10.2001 um 16:05 Uhr
|
|
ich hatte auch noch nie einen 
Sorry das ich ne Warnung für die unvorsichtigen gepostet habe.
Wird nie wieder passieren. MfG
Chatfix |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 26.10.2001 um 23:24 Uhr
|
|
hiho.......
also..
1) das ding ist real existent... keine bange hardi... existiert schon ein weilchen.
2) naja.. sicherlich erlauben das die sicherheitsrichtlinien nicht (direkt zumindest).. aber haben die buben und mädels auch alle brav gepatcht??? nutzer von win2k sollten mal ihre augen offenhalten, da gibt es demnächst das servicepack 3. da sind wieder ein paar sicherheistlücken gestopft worden.
|
~die wenigsten fehltritte begeht man mit den füssen~
na nun bin ich aber mal gespannt wer das bildchen auf einmal noch alles in seiner signatur hat ;o)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
was ist denn dieses rl? wo kann ich das runterladen? |
|
|
|
|
|
|
Top
|
