OFF Topic: Virenwarnung der Uni Stuttgart

[Martin Wagner]

Hallo,
ich hoffe es nervt nicht, wenn ich wieder eine Virenwarnung verbreite, aber ich habe das Ding gestern selber bekommen, ohne daß ich wußte, daß es ein Virus war.

Bitte sagt Eure Meinung, ob man in diesem Forum vor gefährlichen neuen Viren warnen soll oder nicht!

Martin Wagner

From: "RUS-CERT (Tom Fischer)" cert@uni-stuttgart.de>

Subject: [MS,Generic] Wurm namenes "BadTrans" verbreitet sich per E-Mail-Attachment

Reply-To: ticker-feedback@cert.uni-stuttgart.de

To: security-announce@cert.uni-stuttgart.de

Date: Mon, 26 Nov 2001 18:40:03 CET

[MS,Generic] Wurm namenes "BadTrans" verbreitet sich per

E-Mail-Attachment

(2001-11-26 18:21:59+01)

Quelle: http://vil.nai.com/vil/virusSummary.asp?virus_k=99069

Eine neue Variante des E-Mail-Wurms "BadTrans" verbreitet sich per

E-Mail-Attachment. Der Wurm nutzt die bekannte Schwachstelle durch

inkorrekte MIME-Header im IE aus, wodurch das Attachment bereits beim

Lesen der Mail ausgeführt wird.

Betroffene Systeme

* Microsoft Windows

Einfallstor

HTML-E-Mail sowie E-Mail-Attachment

Auswirkung

* Installation des Wurms unter

%windir%\INETD.EXE

* Installation des trojanischen Pferdes "Backdoor-NK.svr", welches

Passwörter protokolliert und einen Zugang über das Netzwerk

ermöglicht

+ %sysdir%\KERN32.EXE bzw. Kernel32.exe oder Kernel.exe

(trojanisches Pferd)

+ %sysdir%\HKSDLL.DLL bzw. kdll.dll (Keylogger)

* Übermittlung der IP (des infizierten Systems) an eine

wahrscheinlich vom Angreifer kontrollierte IP. (Der Host ist

mittlerweile nicht mehr erreichbar.)

* Weiterverbreitung des Wurms durch Anhängen an nicht beantwortete

Nachrichten aus dem Outlook-Verzeichnis

Typ der Verwundbarkeit

Virus (Email-Wurm)

Gefahrenpotential

hoch

(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung

Der Wurm "BadTrans" verbreitet sich mittels E-Mail-Attachments, wobei

das Subject der Mail leer oder "Re:" ist. Der Wurm nutzt die im März

2001 unter [2][MS/IE/Outlook] Schwachstelle bei der Verarbeitung von

falschen MIME Types beschriebene Schwachstelle im Internet Explorer

5.x aus, wodurch das Attachment bereits beim Lesen der HTML-E-Mail

oder beim Betrachten der (Auto-)Vorschau ausgeführt wird.

Der Attachment-Name wird zufällig aus einer Liste von Dateinamen

ausgewählt (z.B. docs.DOC.pif).

* Für den ersten Block des Dateinamen scheinen momentan folgende

Varianten vorzuliegen

+ fun

+ Humor

+ docs

+ info

+ Sorry_about_yesterday

+ Me_nude

+ Card

+ SETUP

+ stuff

+ YOU_are_FAT!

+ HAMSTER

+ news_doc

+ New_Napster_Site

+ README

+ images

+ Pics

* Der zweite Block des Dateinamen setzt sich aus folgenden

Möglichkeiten zusammen:

+ .DOC.

+ .MP3.

+ .ZIP.

* Der dritte (und letzte Block) des Dateinamen setzt sich aus

folgenden Möglichkeiten zusammen

+ pif

+ scr

Das Attachment besitzt eine Größe von 13,312 Byte.

Der Wurm legt sich selbst im Windows Verzeichnis als INETD.EXE sowie

im Systemverzeichnis als kernel32.exe ab und wird über die

Registrierungswerte

HKEY_USERS\Software\Microsoft\WindowsNT\CurrentVersion\Windows\RUN=%Wi

nDir%\INETD.EXE sowie

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\K

ernel32=kernel32.exe ausgeführt.

Entfernung des Wurms

* manuelle Entfernung

+ Beenden des Prozess kernel32.exe über den Taskmanager.

+ Löschen Sie die aufgeführten Dateien (siehe Auswirkung) und

entfernen Sie die Registrierungsschlüssel

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\

RunOnce\kernel32=kern32.exe sowie

HKEY_USERS\Software\Microsoft\WindowsNT\CurrentVersion\Window

s\RUN=%WinDir%\INETD.EXE

+ Entfernung etwaiger Eintragungen dieser Art in der win.ini

(dazu liegen bislang keine Details vor)

* Entfernung mittels Anti-Virensoftware

Gegenmaßnahmen

* Installation des Patches für den Internet Explorer:

+ [3]http://www.microsoft.com/technet/treevi ... t.asp?url=

/technet/security/bulletin/MS01-020.asp

* Installieren sie die aktuellen Anti-Virus-Updates.

Workaround für Mailserver-Administratoren

Filterung aller Attachments mit .pif oder .scr-Endung

Generelle Empfehlung (Wh)

* Führen Sie keinerlei Attachments aus, die sie per Email erhalten

haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus

Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren,

Würmern und trojanischen Pferden. Der beste Schutz ist nach wie

vor ein gesundes Mißtrauen des Benutzers.

* Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie

automatisierte Update-Dienste in Anpruch, wenn möglich.

Bekannte Aliases

* Backdoor-NK.svr

* BadTrans (F-Secure)

* I-Worm.Badtrans (AVP)

* TROJ_BADTRANS.A (Trend)

* W32.Badtrans.13312@mm (NAV)

* W32.Badtrans.B@mm

Weitere Information zu diesem Thema

* [4]McAfee W32/Badtrans@MM

Aktuelle Version dieses Artikels

[5]http://cert.uni-stuttgart.de/ticker/article.php?mid=599

Hinweis

Die in diesem Text enthaltene Information wurde für die Mitglieder der

Universität Stuttgart recherchiert und zusammengestellt. Die

Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.

Dieser Artikel darf ausschließlich in unveränderter Form und nur

zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis

veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen

an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2001 RUS-CERT, Universität Stuttgart

[6]http://cert.uni-stuttgart.de/

References

1. http://cert.uni-stuttgart.de/ticker/cha ... ungsstufen

2. http://cert.uni-stuttgart.de/ticker/article.php?mid=309

3. http://www.microsoft.com/technet/treevi ... 01-020.asp

4. http://vil.nai.com/vil/virusSummary.asp?virus_k=99069

5. http://cert.uni-stuttgart.de/ticker/article.php?mid=599

6. http://cert.uni-stuttgart.de/

----------------------------------------------------------------------

Weitere Nachrichten: http://cert.uni-stuttgart.de/ticker/

Kommentare & Kritik bitte an ticker-feedback@cert.uni-stuttgart.de

[Ulrich Rieth]

...aber wer, wie ich MS OE nutzt und immer noch nicht begriffen hat, dass er Dateianhänge von Leuten, die er nicht kennt, NICHT öffenen sollte, der ist wirklich selber schuld und hat es nicht anderes verdient.
Wenn man bei jedem noch so doofen Virus jedes Forum mit Warnungen zustellt, kann man sich irgentwann nichtmehr retten.
Trotzdem Danke für den Hinweis.
Dieser Wurm war gestern auch schon 2 Mal bei mir an der Tür.
Dank der Endung .SCR (für Bildschirmschoner) ist er auch beim bloßen aufrufen der Mail (nicht des Dateianhangs) soweit gegangen, dass das "Speichern/Ausführen"-Fenster automatisch aufging. An dieser Stelle kann der User aber IMMER eingreifen und den Mist durch "Abbrechen" beenden.
Ich hab mir auch mal den Quelltext angesehen, aber der war wie immer schon kompiliert und mit den normalen Texteditoren nicht lesbar.
Ok, soweit meine Meinung dazu. Wenn es Teilnehmer gibt, die dafür sind, dann bitte "hier" rufen.
Gruß

Ulrich

[Stefan Stumpf]

Hallo Ulrich

> ...aber wer, wie ich MS OE nutzt und immer noch nicht begriffen
> hat, dass er Dateianhänge von Leuten, die er nicht kennt, NICHT
> öffenen sollte, der ist wirklich selber schuld und hat es nicht
> anderes verdient.
>

Vorsicht. Im Moment tauchen diese Viren auch mit dem Empfänger bekannten Absendern auf. Habe gestern so eine bekommen. War als X-WAV.PIF getarnt. Also nicht direkt ersichtlich. OK, an meinem OS prallt sowas ab, aber mit M$, ich weiß nicht recht.

Schaue mal auf der Seite von Symantec vorbei. Da steht wunderschön, wie sich die einzelnen Viren verbreiten. Würde ich zu Hause M$ einsetzen, hätte ich mir schon längst einen entsprechenden Virenschutz zugelegt.

Aber trotzdem finde ich, wie Ulrich schon sagte, daß dieses Forum hier der falsche Platz ist, um vor Viren zu warnen. Da gibt es andere Möglichkeiten, um sich zu informieren. Gerade wenn man ein gefährdetes BS benutzt, sollte man immer auf dem laufenden sein, was da gerade so abgeht.

> Gruß

> Ulrich

Ciao Stefan, der in den letzten 5 Tagen ca. 25 verschiedene Varianten dieser E-Mail-Würmer erhalten hat.

[Mike]

eine Warnung hier sinnvoll ist, oder ist zu 100% ausgeschloßen, das nicht über den PL-Verteiler oder AKM Verteiler ein Virus der Art verteilt wird ?
Nicht alle hier sind "PC-Pofis" wie Ulrich, Stefan oder auch ich... Ein kurzes Warn-Posting....warum denn nicht ?
Es gibt hier so viele Postings fragwürdiger Inhalte .....*sorry*

Mike

[Ulrich Rieth]

...aber eigentlich ist es ausgeschlossen, dass über die Liste Viren verteilt werden, denn dort sind keine Dateianhänge erlaubt.
Gruß

Ulrich