Hauptgruppierung: VirWare
Viren und Würmer sind bösartige Programme, die sich auf Computern oder in Computernetzwerken replizieren, ohne dass der Benutzer dies bemerkt. Jede nachfolgende Kopie solcher Schadprogramme kann sich auch selbst replizieren.Schädliche Programme, die sich über Netzwerke ausbreiten oder entfernte Maschinen infizieren, wenn dies vom "Eigentümer" (z. B. Hintertüren) verlangt wird, oder Programme, die mehrere Kopien erstellen, die sich nicht selbst replizieren können, gehören nicht zur Unterklasse Viren und Würmer.
Das Hauptmerkmal, das verwendet wird, um zu bestimmen, ob ein Programm als separates Verhalten innerhalb der Unterklasse Viren und Würmer klassifiziert ist, ist, wie sich das Programm verbreitet (dh wie das bösartige Programm Kopien von sich über lokale oder Netzwerkressourcen verbreitet).
Die meisten bekannten Würmer verteilen sich als Dateien, die als E-Mail-Anhänge gesendet werden, über einen Link zu einer Web- oder FTP-Ressource, über einen Link in einer ICQ- oder IRC-Nachricht, über P2P-Filesharing-Netzwerke usw.
Einige Würmer verbreiten sich als Netzwerkpakete; diese dringen direkt in den Computerspeicher ein und der Wurmcode wird dann aktiviert.
Würmer verwenden die folgenden Techniken, um entfernte Computer zu durchdringen und Kopien von sich selbst zu starten: Social Engineering (z. B. eine E-Mail-Nachricht, die darauf hinweist, dass der Benutzer eine angehängte Datei öffnet), Ausnutzen von Netzwerkkonfigurationsfehlern (z. B. Kopieren auf eine voll zugängliche Festplatte) Lücken in der Betriebssystem- und Anwendungssicherheit.
Viren können nach der Methode aufgeteilt werden, die zum Infizieren eines Computers verwendet wird:
Dateiviren
Boot-Sektor-Viren
Makroviren
Skriptviren
Jedes Programm in dieser Unterklasse kann zusätzliche Trojanerfunktionen haben.
Es sollte auch beachtet werden, dass viele Würmer mehr als eine Methode verwenden, um Kopien über Netzwerke zu verbreiten. Die Regeln zum Klassifizieren erkannter Objekte mit mehreren Funktionen sollten verwendet werden, um diese Arten von Würmern zu klassifizieren.
Kategorie: Email-Worm
E-Mail-Würmer verbreiten sich per E-Mail. Der Wurm sendet eine Kopie von sich selbst als Anhang an eine E-Mail-Nachricht oder einen Link zu seiner Datei auf einer Netzwerkressource (z. B. eine URL zu einer infizierten Datei auf einer kompromittierten Website oder einer Hacker-eigenen Website).Im ersten Fall wird der Wurmcode aktiviert, wenn der infizierte Anhang geöffnet (gestartet) wird. Im zweiten Fall wird der Code aktiviert, wenn der Link zur infizierten Datei geöffnet wird. In beiden Fällen ist das Ergebnis dasselbe: Der Wurmcode ist aktiviert.
Email-Würmer verwenden eine Reihe von Methoden, um infizierte E-Mails zu versenden. Die häufigsten sind:
Verwenden einer direkten Verbindung zu einem SMTP-Server mithilfe des E-Mail-Verzeichnisses, das in den Code des Wurms integriert ist
Verwenden von MS Outlook-Diensten
Verwenden von Windows MAPI-Funktionen.
Email-Würmer verwenden eine Reihe verschiedener Quellen, um E-Mail-Adressen zu finden, an die infizierte E-Mails gesendet werden:
das Adressbuch in MS Outlook
eine WAB-Adressdatenbank
.txt-Dateien, die auf der Festplatte gespeichert sind: Der Wurm kann feststellen, welche Zeichenfolgen in Textdateien E-Mail-Adressen sind
E-Mails im Posteingang (einige E-Mail-Würmer "antworten" sogar auf E-Mails im Posteingang)
Viele E-Mail-Würmer verwenden mehr als eine der oben aufgeführten Quellen. Es gibt auch andere Quellen für E-Mail-Adressen, z. B. Adressbücher für webbasierte E-Mail-Dienste.
Mehr Informationen
Plattform: VBS
Visual Basic Scripting Edition (VBScript) ist eine Skriptsprache, die von Windows Script Host interpretiert wird. VBScript wird häufig zum Erstellen von Skripten unter Microsoft Windows-Betriebssystemen verwendet.Beschreibung
Technische Details
Dieser Wurm ist in der Sprache Java Script geschrieben, die zur Verbreitung MS Outlook Express verwendet. Der Wurm hängt sich nicht an Nachrichten an, wie es reguläre Wurmviren tun, sondern bettet seinen Körper in eine Nachricht als Skriptprogramm ein.
Der Wurm funktioniert nur mit englischen und französischen Windows-Versionen. Es funktioniert auch nicht, wenn Windows in einem anderen Verzeichnis als "C: WINDOWS" installiert ist.
Der Wurm ist nur mit MS Outlook Express kompatibel. In MS Outlook wird der Wurm aktiviert und infiziert das System, aber es kann sich nicht weiter verbreiten, da MS Outlook Express nur darauf abzielt, seine Kopien zu verbreiten. Bei anderen E-Mail-Systemen hängt die Funktionalität des Wurms von den Funktionen dieses Systems ab.
Während der Wurm das System infiziert, erstellt er drei zusätzliche Dateien mit seiner Kopie. Erstens werden zwei von ihnen verwendet, um das System zu infizieren, und das letzte wird verwendet, um den Code des Wurms über infizierte E-Mail zu verbreiten:
1. KAK.HTA im Windows-Startordner
2. zufällige namens. HTA-Datei im Windows-Systemordner
3. KAK.HTM-Datei im Windows-Ordner
Der Wurm hat eine Payload-Routine. Am 1. eines Monats nach 17:00 Uhr wird folgende Nachricht angezeigt:
Kagou-Anti-Kro $ oft sagt heute nicht!
Erzwingt, dass Windows danach beendet wird.
Verbreitung
Der Wurm kommt auf einem Computer als E-Mail-Nachricht im HTML-Format an. Der Nachrichtentext enthält ein Skript (Java-Script-Programm), das der Wurmkörper selbst ist. Dieses Programm erscheint nicht auf dem Bildschirm, da in HTML-Dokumenten Skriptprogramme nie angezeigt werden. Als Ergebnis wird beim Öffnen einer infizierten Nachricht (oder bei der Vorschau) nur der Nachrichtentext angezeigt und es ist kein Wurmcode sichtbar, aber das Skript wird automatisch vom Mailer ausgeführt und der Wurm erhält die Kontrolle.
Der Wurm infiziert das System und verbreitet sich in drei Schritten.
1. Der Wurm erstellt seine Kopie als eine Datei in einem Windows-Autostart-Ordner.
2. Wenn der Wurm aus dem Windows-Startordner ausgeführt wird, verschiebt er sich in das Windows-Systemverzeichnis, registriert diese neue Kopie in der Systemregistrierung im Autostartabschnitt und entfernt die erste Kopie aus dem Windows-Startordner.
3. Der Wurm greift auf den MS Outlook Express Registry-Abschnitt zu und registriert dort die Wurmkopie als Standardsignatur. Outlook Express sendet dann automatisch den Code des Wurms über alle gesendeten Nachrichten.
Der Wurm benötigt diese Schritte, da er in der ersten Phase nur auf die Festplattendateien und nicht auf die Systemregistrierung zugreifen kann. Daher muss er von einer Festplattendatei (aus der "Lokalen Intranetzone") ausgeführt werden, um die Registrierungsschlüssel zu ändern. Der Wurm löscht dann seine Kopie aus dem Windows-Startordner, um sich zu verbergen, und alle darin enthaltenen Programme sind im StartProgramsStartup-Menü sichtbar.
Verbreitung: Schritt 1 - wird von einer infizierten Nachricht ausgeführt
Nach der Aktivierung von einer infizierten Nachricht erhält der Wurm Zugriff auf die lokale Festplatte eines Computers. Um den Sicherheitsschutz zu vermeiden (der lokale Festplattenzugriff ist standardmäßig nicht zulässig), verwendet der Wurm eine Sicherheitsverletzung namens "TypLib-Sicherheitsanfälligkeit". Der Wurm erstellt ein ActiveX-Objekt, das als sicher für die Skripterstellung markiert ist, und kann Dateien auf die Festplatte schreiben. Durch die Verwendung dieses ActiveX-Objekts erhält der Wurm schriftlichen Zugriff auf die Festplatte.
Der Wurm erstellt dann die Datei KAK.HTA und legt dort seinen eigenen Code ab. Diese Datei befindet sich im Windows-Startverzeichnis und wird daher beim nächsten Windows-Start ausgeführt.
Kommentar:
Eine HTA-Datei ist eine HTML-Anwendung - der Dateityp, der nach der Installation angezeigt wird
Internet Explorer 5.0. HTA-Dateien enthalten regulären HTML-Text mit Skripts
innerhalb, aber bei der Ausführung läuft es als eigenständige Anwendung - ohne
die Internet Explorer-Shell. Es bietet die Möglichkeit, mächtig zu schreiben
Anwendungen, die reguläre Skripte in HTML verwenden.
Beim Erstellen der KAK.HTA-Datei bestimmt der Wurm keinen echten Pfad zum Windows-Verzeichnis und nimmt immer an, dass Windows im Ordner "C: WINDOWS" installiert ist. Daher kann sich der Wurm nicht auf einem System verbreiten, auf dem Windows in einem anderen Verzeichnis als "C: WINDOWS" installiert wurde. Der Wurm versucht zwei Varianten des Windows-Startordners, in den er kopiert werden soll:
MENUD� ~ 1PROGRA ~ 1D�MARR ~ 1 (Standardname in der französischen Windows-Version)
STARTM ~ 1ProgramsStartUp (Standardname in englischer Windows-Version)
Falls das Windows-Startverzeichnis einen anderen Namen hat (in einer anderen Windows-Lokalisierung), kann der Wurm seine Datei dort nicht schreiben und kann sich daher nicht weiter verbreiten.
Verbreitung: Schritt 2 - wird von KAK.HTA ausgeführt
Beim nächsten Windows-Neustart wird die Datei "KAK.HTA" aus dem Windows-Startverzeichnis aktiviert. Das Skriptprogramm in dieser Datei erstellt dieselbe HTA-Datei im Windows-Systemverzeichnis. Diese Datei hat einen systemabhängigen Namen (wie "9A4ADF27.HTA"). Der Wurm ändert dann die Systemregistrierung, um diese Datei bei jedem Windows-Start auszuführen. Wenn ein Benutzer die standardmäßige Outlook Express-Signatur ändert, werden die Komponenten und Registrierungseinstellungen des Wurms mit dem Skript in dieser Datei wiederhergestellt. dh es wird das System erneut infizieren.
Das "KAK.HTA" -Skript erstellt dann die Datei "KAK.HTM", die nur den Code des Wurms enthält (die HTML-Seite hat keinen anderen Text als nur das reine Wurm-Skript anzuzeigen). Diese Datei wird später verwendet, um Nachrichten zu infizieren.
Schließlich hängt das Skript an die Datei "C: AUTOEXEC.BAT" Dateibefehle, die "KAK.HTA" aus dem Startverzeichnis löschen, da es sie nicht mehr benötigt.
Verbreitung: Schritt 3 - Senden infizierter Nachrichten
Dasselbe Skript ("KAK.HTA") ändert dann die Systemregistrierung. Es erstellt eine neue Outlook Express-Signatur, die sich auf die Datei "KAK.HTM" bezieht, und legt diese Signatur als Standardsignatur in Outlook Express fest. Ab diesem Zeitpunkt fügt jedes Mal, wenn Outlook Express eine Nachricht verfasst, die infizierte Signatur in die Nachricht ein (der Inhalt der Datei "KAK.HTM").
Der Wurm kann nur die via HTML-Nachrichten (und das sind die MS Outlook Express) Standardeinstellungen verbreiten. Die RTF- und "Nur-Text" -Nachrichten sind nicht infiziert und können nicht infiziert werden.
Schutz
Das Problem besteht darin, dass ein regelmäßiges Anti-Virus-Scannen mit On-Demand-Scannern keinen Schutz gegen diese Art von Würmern bietet. Jedes Mal, wenn eine infizierte Nachricht in Outlook geöffnet wird, wird der Wurm erneut angezeigt. Wenn Outlook Express außerdem so konfiguriert ist, dass ein Vorschaubereich angezeigt wird, reicht es aus, die infizierte Nachricht aus der Liste auszuwählen, damit der Wurm aktiviert wird.
1. Um sich selbst zu schützen, ist es möglich, On-Access-Scanner zu verwenden, um den Wurm zu fangen, wenn er sich selbst auf die Festplatte schreibt. On-Access-Scanner können die Aktivierung des Wurms jedoch nicht verhindern, da Skripte in E-Mail-HTML-Nachrichten direkt im Systemspeicher ausgeführt werden und nicht von einer Datei auf der Festplatte gespeichert werden.
Die beste Vorgehensweise besteht darin, Anti-Virus-Dienstprogramme zu verwenden, die Skriptprogramme überprüfen, bevor sie ausgeführt werden (siehe "AVP Script Checker"). Solche Programme können die Aktivierung und Infektion des Wurms verhindern.
2. Um eine eigene Datei auf den Datenträger zu schreiben, verwendet der Wurm eine Internet Explorer 5.0-Sicherheitsverletzung. Microsoft hat ein Update veröffentlicht, das die Sicherheitsanfälligkeit "Scriptlet.TypeLib" beseitigt. Wir empfehlen dringend, dass Sie http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP besuchen und dieses Update installieren.
3. Wenn Sie keine HTML-Anwendungen (HTA-Dateien) bei der Arbeit verwenden möchten, gibt es eine andere Möglichkeit, eine Infektion durch Viren dieses Typs zu verhindern (die Würmer und Viren, die HTA-Dateien zur Verbreitung verwenden). Es ist erforderlich, die Dateizuordnung für die Erweiterung .HTA zu entfernen. Um dies zu tun, müssen Sie mehrere Schritte folgen:
1. Doppelklicken Sie auf Ihrem Desktop auf das Symbol "Arbeitsplatz".
2. Wählen Sie im erscheinenden Fenster das Menü "Ansicht" -> "Optionen ...".
3. Wählen Sie im Listenfeld "Dateitypen" im Listenfeld "Registrierte Dateitypen" den Eintrag "HTML-Anwendung".
4. Klicken Sie auf die Schaltfläche "Entfernen" und bestätigen Sie die Aktion.
5. Schließen Sie das Dialogfeld Optionen.
Mehr erfahren
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com