[MS/Windows] Bagle.J/Beagle.J verbreitet sich
(2004-03-03 23:11:30.57312+01)
Quelle: http://www.symantec.com/avcenter/venc/data/w32.beagle.j@mm.html> Die
\'J\' -Version des Bagle/Beagle-Wurms verbreitet sich derzeit per
> E-Mail. Der Wurm fälscht Absenderadressen und formatiert die Nachricht
> so, daß sie zum Absender paßt. Im Anhang befindet sich eine
> verschlüsselte ZIP-Datei, deren Paßwort in der Nachricht enthalten
> ist. Weitere Verbreitungswege sind P2P-Netzwerke, wie Kazaa und iMesh.
>
>
Betroffene Systeme>
> * Windows 95, 98, Me
> * Windows NT, 2000
> * Windows XP
> * Windows Server 2003
>
>
Einfallstor>
> * Verschlüsselte ZIP-Datei als Anhang einer E-Mail-Nachricht
> * P2P-Netzwerke
>
>
Auswirkung>
> * Massives Versenden infizierter Nachrichten an Adressen, die auf
> dem infizierten System gefunden werden.
> * Verbreitung über P2P-Netzwerke, in dem eine Kopie des Wurmes in
> die jeweiligen share-Verzeichisse unter einem gefälschten
> Dateinamen abgelegt wird.
> * Öffnen einer Hintertür auf Port 2745. Diese kann von einem
> Angreifer dazu ausgenutzt werden, beliebige Dateien in das
> %Windir%-Verzeichnis zu kopieren, die dort unter dem Namen
> %Windir%\\iuplda
abgelegt werden, wobei ein zufälliger
> String ist.
> * Der Wurm versucht, verschiedene Antivirusprogramme zu beenden.
>
> Klasse -> E-Mail-Wurm
>
> Gefahrenpotential
>
> mittel bis hoch
> (Hinweise zur [1]Einstufung des Gefahrenpotentials.)
>
> Beschreibung
>
> Bagle/Beagle.J ist eine Variante des Bagle/Beagle.A-Wurmes und
> verbreitet sich derzeit per E-Mail. Der Wurm ist dabei in einer
> verschlüsselten ZIP-Datei im Anhang der Nachricht enthalten und
> unterläuft so die gängigen Antivirusprogramme, die Nachrichten und
> Anhänge auf bestimmte Muster des Wurm-Codes (sog. Signaturen) hin
> untersuchen. Die Nachricht selbst enthält einen Text, der auf den
> ersten Blick gut zur gefälschten Absenderadresse paßt und das Paßwort
> für den Anhang bereitstellt. Öffnet der gutgläubige Benutzer den
> Anhang, wird das beherbergende Rechnersystem infiziert.
>
> Charakteristika
>
>* Verbreitung über E-Mail
> Bagle/Beagle.J fälscht Absenderaddressen so, daß sie für die
> Empfänger der Nachrichten auf den ersten Blick plausibel aussehen:
> der DNS-Domainname des Empfängers wird mit folgenden local-Parts
> kombiniert:
> + management@
> z.B.: management@Uni-Stuttgart.DE
> + administration@
> + staff@
> + noreply@
> + support@
> Folgende Betreff-Zeilen (Subject:) verwendet der Wurm:
>
> * E-mail account disabling warning.
> * E-mail account security warning.
> * Email account utilization warning.
> * Important notify about your e-mail account.
> * Notify about using the e-mail account.
> * Notify about your e-mail account utilization.
> * Warning about your e-mail account.
>
> Die Nachrichten selbst bestehen derzeit aus den folgenden
> Textbausteinen:
>
> Anrede:
>
> * Dear user of ,
> z.B.: Dear user of ,
> * Dear user of gateway e-mail server,
> * Dear user of e-mail server \"\",
> * Hello user of e-mail server,
> * Dear user of \"\" mailing system,
> * Dear user, the management of mailing system
> wants to let you know that,
>
> Danach folgt einer der folgenden Abschnitte:
>
> * Your e-mail account has been temporary disabled because of
> unauthorized access.
> * Our main mailing server will be temporary unavaible for next two
> days, to continue receiving mail in these days you have to
> configure our free auto-forwarding service.
> * Your e-mail account will be disabled because of improper using in
> next three days, if you are still wishing to use it, please,
> resign your account information.
> * We warn you about some attacks on your e-mail account. Your
> computer may contain viruses, in order to keep your computer and
> e-mail account safe, please, follow the instructions.
> * Our antivirus software has detected a large ammount of viruses
> outgoing from your email account, you may use our free anti-virus
> tool to clean up your computer software.
> * Some of our clients complained about the spam (negative e-mail
> content) outgoing from your e-mail account. Probably, you have
> been infected by a proxy-relay trojan server. In order to keep
> your computer safe, follow the instructions.
>
> Schließlich folgt eine Zeile, die darauf hinweist, daß in der Datei im
> Anhang Details bzw. weitere Information zu finden ist und der Hinweis,
> daß diese Datei aus Sicherheitsgründen verschlüsselt wurde. Das
> Paßwort wird ebenfalls angegeben.
>
> Verbreitung über P2P-Netzwerke
> Wenn der Wurm ein Rechnersystem infiziert, kopiert er sich in
> Verzeichnisse, deren Namen den String \"shar\" enthalten. Solche
> Verzeichnisse werden von File-Sharing-Software wie Kazaa und iMesh
> verwendet. Die Kopien des Wurms tragen dabei einen der folgenden
>
> Namen:
>
> * ACDSee 9.exe
> * Adobe Photoshop 9 full.exe
> * Ahead Nero 7.exe
> * Matrix 3 Revolution English Subtitles.exe
> * Microsoft Office 2003 Crack, Working!.exe
> * Microsoft Office XP working Crack, Keygen.exe
> * Microsoft Windows XP, WinXP Crack, working Keygen.exe
> * Opera 8 New!.exe
> * ****o pics arhive, xxx.exe
> * ****o Screensaver.scr
> * ****o, ***, oral, anal cool, awesome!!.exe
> * Serials.txt.exe
> * WinAmp 5 Pro Keygen Crack Update.exe
> * WinAmp 6 New!.exe
> * Windown Longhorn Beta Leak.exe
> * Windows Sourcecode update.doc.exe
> * XXX hardcore images.exe
>
> Aliases:
>
> * W32/Bagle.j@MM
> * W32.Beagle.J@mm
>
> Gegenmaßnahmen
>
> Die Verschlüsselung stellt sicher, daß der Wurm selbst im Attachment
> nicht von Antivirusprogrammen erkannt werden kann, da der Schlüssel
> zufällig gewählt wird. Antivirenprogramme können daher nur nach den
> begleitenden Nachrichten bzw. auf infizierten Systemen nach dem
> unverschlüsselten Wurm suchen.
> * Entfernung des Wurmes:
> Einige Hersteller von Antivirensoftware bieten kostenlos
> Entfernungswerkzeuge an:
> + McAfee: [2]Stinger
> * Aktualisierung der Signaturdateien von Antivirussoftware:
> + [3]McAfee:EXTRA.DAT
> + [4]McAfee:SUPER EXTRA.DAT
>
> Generelle Empfehlung (Wh)
>
> * Führen Sie keinerlei Attachments aus, die Sie per E-Mail
> erhalten[5]1) haben, egal woher! Auch Hinweise in den Nachrichten,
> wie \'Virus Checked\' oder Ähnliches, bieten keinerlei Schutz vor
> Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach
> wie vor ein gesundes Mißtrauen des Benutzers.
> * Kein ernstzunehmender Hersteller von System- oder
> Antivirussoftware verschickt Werkzeuge zur Entfernung
> irgendwelcher Malware, Updates oder Patches per E-Mail. Auch das
> RUS-CERT tut dergleichen nicht. Sollten Sie also eine solche
> Nachricht erhalten, können Sie davon ausgehen, daß es sich um eine
> gefälschte Nachricht handelt.
> * Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie
> automatisierte Update-Dienste in Anpruch, wenn möglich.
>
> 1) Dies gilt insbesondere für Nachrichten mit Attachments, die
> unerwartet eintreffen und nicht einer plausiblen
> Kommunikationsbeziehung, z.B. im Rahmen eines Projektes, bei dem
> Dokumente ausgetauscht werden, zuzuordnen sind. Allerdings ist auch
> hier Sorgfalt geboten, einige Würmer produzieren Nachrichten, die den
> Anschein erwecken sollen, zu einer solchen Beziehung zu gehören.
>
> Credits:
>
> * Wir danken Christoph Fischer (BFK edv-consulting GmbH) für
> Anregungen.
>
> Aktuelle Version dieses Artikels
> [6]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1182
Hinweis:
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.
>
> Copyright © 2004 RUS-CERT, Universität Stuttgart,
> [7]http://CERT.Uni-Stuttgart.DE/[/B]
Autor
Thema: [MS/Windows] Bagle.J/Beagle.J verbreitet sich (Gelesen 2426 mal)