Kaspersky Lab, eine internationale Software-Schmiede im Bereich Datensicherheit, warnt die Benutzer vor dem neuen Internet-Wurm 'SirCam',der sich durch eMail und lokale Rechnernetze verbreitet. |
Technische
Beschreibung |
Kaspersky Lab erhielt bereits am 18. Juli Meldungen über das Auftreten des Wurms 'in the wild' und hat bereits am selben Tag ein Update zum Schutz vor dem Wurm zur Datenbank von Kaspersky Anti-VirusT hinzugefügt. Nach dem Starten (zum Beispiel durch Doppelklick auf das Icon der angehängten infizierten Datei), dringt der Wurm ins System ein, versendet die infizierten Nachrichten (die angehängte Dateien mit einer Wurmkopie umfassen), infiziert Computer im LAN, die gerade eingeschaltet sind (falls es im Netz Festplatten gibt, auf die er sich speichern kann), und führt - je nach Systemdatum - eine eingebaute Routine aus. |
|
Email-Verbreitung Der Wurm verschickt sich von den infizierten Rechnern per eMail als angehängte Datei mit einem beliebigen Namen und doppelter Extension: filename.ext1.ext2 Die Extension 'ext1' kann eine der folgenden Varianten sein: DOC, XLS, ZIP, EXE. Die Extension 'ext2' wird ebenfalls willkürlich aus PIF, LNK, BAT, COM gewählt, zum Beispiel: feb01.xls.pif , normas.doc.bat 'filename.ext1' wird aus einer Datei erstellt, die im infizierten System vorhanden ist. Der Wurm sucht bei der Versendung nach 'ext1'-Dateien (siehe oben), und verwendet den vollen Dateinamen als Namen des infizierten Anhangs. Somit beinhalten die Dateien, die vom infizierten Computer gesandt werden, zwei Teile: 1. den Wurm-EXE-Code; 2. die angehängten zusätzlichen Daten, die willkürlich im infizierten Computer ausgewählte DOC/XLS/ZIP/EXE-Dateien darstellen. Diese angehängte Datei wird dann durch den Wurm benutzt, um seine Aktivität zu verbergen (siehe unten). Als Nebenwirkung dieser 'angehängten Dateien' kann es dazu kommen, dass vertrauliche Informationen verbreitet werden. Der Betreff der infizierten Nachrichten ist ein 'Dateiname', wie oben beschrieben (und zwar der Name der angehängten Datei). Der Body ist entweder in Englisch oder Spanisch gehalten. Die ersten und letzten Zeilen der Meldung sind immer dieselben: Die erste Zeile: Hi! How are you? Hola como estas? Die letzte Zeile: See you later. Thanks Nos vemos pronto, gracias. Die Varianten des Texts zwischen diesen Zeilen sind: I send you this file in order to have your advice. I hope you can help me with this file that I send. I hope you like the file that I send to you. This is the file with the information that you ask for. Te mando este archivo para que me des tu punto de vista. Espero me puedas ayudar con el archivo que te mando. Espero te guste este archivo que te mando. Este es el archivo con la información que me pediste Der Wurm bekommt die eMail-Adressen weiterer 'Opfer' durch Scannen von Dateien, in denen eMail-Adressen gespeichert sein können: SHO*, GET*, HOT*, *.HTM, *WAB, und einige andere. Das Suchresultat wird dann durch den Wurm in den 'unechten' DLL-Dateien im Systemverzeichnis gespeichert: SCD.DLL-Datei beinhaltet die 'ext1'-Dateienliste SCH1.DLL, SCI1.DLL-Dateien enthalten die Liste der eMail-Adressen, die in den gescannten Dateien gefunden wurden. Es können auch SCT1.DLL- und SCY1.DLL-Dateien im Systemdirectory gefunden werden, in diesen Dateien speichert der Wurm zusätzliche Daten. Installation im System Der Wurm kopiert sich in die folgenden Verzeichnisse: 1. \RECYCLED-Verzeichnis im Windows-Laufwerk unter dem Namen 'SirC32.exe', zum Beispiel: C:\WINDOWS\ C:\RECYCLED\SirC32.exe 2. Windows-Systemdirectory unter dem Namen 'SCam32.exe'. 3. Windows-Directory unter dem Namen 'ScMx32.exe'. 4. Windows Autostart-Verzeichnis unter dem Namen 'Microsoft Internet Office.exe'. Zu beachten ist, dass der Wurm nicht alle diese Schritte beim ersten Autostart durchführt, einige der Dateien werden je nach den aktuellen Bedingungen erstellt. All diese Dateien bekommen das Attribut 'Hidden'. Die zwei ersten Dateien werden dann in den Autostart-Bereich der Systemregistrierung eingetragen: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Driver32 = %windows system directory%\SCam32.exe HKCR\exefile\shell\open\command SirC32.exe Der Wurm greift dann eine angehängte 'decoy'-Datei (sieh oben) im Windows TEMP-Verzeichnis heraus. Diese 'decoy'-Datei trägt den Namen 'filename.ext1'. Der Wurm öffnet diese Datei mit WINWORD.EXE oder WORDPAD.EXE, EXCEL.EXE, WINZIP.EXE abhängend von 'ext1'. Der Wurm erstellt auch zusätzliche Registry Keys und speichert seine internen Daten unter dem Key HKLM\SOFTWARE\SirCam. Netzwerkverbreitung Um sich über ein lokales Rechnernetz zu verbreiten, ermittelt der Wurm die vorhandenen Netzwerkressourcen (alle freigegebenen Verzeichnisse auf Remote-Rechnern), und kopiert sich dann dorthin. Wenn es in dem freigegebenen Verzeichnis ein '\recycled' Verzeichnis gibt, kopiert sich der Wurm unter dem Namen 'SirC32.exe' dorthin: \recycled\SirC32.exe Der Wurm fügt dann am Ende der 'AUTOEXEC.BAT'-Datei folgenden Befehl hinzu: @win \recycled\SirC32.exe Wenn es dort ein '\Windows'-Verzeichnis gibt, benennt der Wurm die 'RUNDLL32.EXE'-Datei mit dem 'RUN32.EXE'-Namen um und danach überschreibt die ursprüngliche 'RUNDLL32.EXE' mit seiner eigenen Kopie. Der Wurm setzt für seine Kopien das Dateiattribut 'versteckt'. Schadenskomponente Je nach Systemdatum und -Zeit entfernt der Wurm mit einer Wahrscheinlichkeit von 1:20 willkürlich alle Dateien und Unterverzeichnisse aus dem Windows-Verzeichnis. Mit einer Chance von 1:50 erstellt der Wurm beim Systemstart eine SirCam.Sys-Datei im Stammverzeichnis des aktuellen Laufwerks und schreibt einen der folgenden Texte hinein: [SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX] [SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico] Es scheint, dass der Wurm diese Texte viele Male schreibt, um den Festplattenraum zu füllen. Diese Strings (wie auch die meisten anderen Text-Strings) sind im Wurm-Body verschlüsselt. |
| Man kann nur immer wieder darauf hinweisen, dass jede eMail deren Absender nicht bekannt ist und die einen Anhang hat auf keinen Fall geöffnet wird. Am besten ist diese gleich zu löschen auch wenn die Betreffzeile noch so interessant klingt wie: Present from your best friend, Gift for you, Ihre Anfrage, Your request, etc. |
 |
