DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.SysClock

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist ein Internet-Wurm (Virus des Wurm-Typs), der sich über E-Mails, IRC-Kanäle verbreitet, Dateien auf lokalen Computern infiziert und sich in ein lokales Netzwerk verbreitet. Es stiehlt auch System-Passwörter (PWL-Dateien) von infizierten Computern, sowie viele harmlose und gefährliche Payload-Routinen. Der Wurm selbst ist ungefähr 80Kb groß, das Programm Win32 (PE EXE – Portable Executable) ist in Delphi geschrieben, der "reine" Wurmcode belegt etwa 20Kb und der Rest ist Delphi-Laufzeitbibliothekscode, Daten und die sonstigen Informationen des Programms.

Der Wurm kommt als E-Mail mit einer gefälschten Nachricht (siehe unten) und angehängter PKZIP.EXE-Datei, die das Wurmprogramm selbst ist. Wenn der Wurm ausgeführt wird, installiert er sich selbst im System, infiziert Dateien auf einem lokalen Laufwerk, infiziert verfügbare logische Laufwerke, infiziert den installierten mIRC-Client und sendet infizierte E-Mails mit dem Eudora-Mailsystem.

Installation im System

Um sich selbst im System zu installieren, kopiert sich der Wurm mit dem Namen KERNEL.EXE in das Windows-Verzeichnis (auf Win95 / 98-Rechnern) oder in das Windows-Systemverzeichnis (auf WinNT) und registriert sich selbst im System-Registrierungsschlüssel :


SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock = kernel.exe

Der Wurm verfügt außerdem über eine zusätzliche Installationsroutine, die die Wurmkopien auf allen verfügbaren Laufwerken installiert. Diese Routine wird nachstehend beschrieben.

Einen Computer infizieren

Der Wurm kann etwa 40 Dateien auf einem Computer infizieren und infiziert bei jedem Lauf nicht mehr als vier Dateien. Der Wurm infiziert Dateien im Windows-Verzeichnis:


NOTEPAD.EXE, CALC.EXE, DEFRAG.EXE, SCANDSKW.EXE, WRITE.EXE, WINIPCFG.EXE,
SCANREGW.EXE, DRWTSN32.EXE, NTBACKUP.EXE, REGEDT32.EXE, TASKMGR.EXE,
USRMGR.EXE

Der Wurm infiziert dann Programme, die Registrierungsschlüsseln zugeordnet sind:


SOFTWAREClassesAccess.Application.8 shellopencommand
SOFTWAREClassesAudioCD Shellplay-Befehl
SOFTWAREClassesAVIFile Shellplay-Befehl
SOFTWAREClassescdafile shellplaycommand
SOFTWAREClassesChat shellopencommand
SOFTWAREClientsNewsForte Agent shellopencommand
SOFTWAREClassesExcel.Sheet.8 shellopencommand
SOFTWAREClassesftp shellopencommand
SOFTWAREClassesgiffile shellopencommand
SOFTWAREClasseshlpfile shellopencommand
SOFTWAREClassesEudora DefaultIcon
SOFTWAREClassesEudora shellopencommand
SOFTWAREClassesMicrosoft Internet Mail Nachricht shellopencommand
SOFTWAREClassesMicrosoft Internet News Nachricht shellopencommand
SOFTWAREClassesMOVFile shellopencommand
SOFTWAREClassesMsi.Package shellopencommand
SOFTWAREClassespcANYWHERE32 shellopencommand
SOFTWAREClassesQuickView shellopencommand
SOFTWAREClassesRealPlayer.RAM.6 shellopencommand
SOFTWAREClassesWinamp.File shellopencommand
SOFTWAREClassesUnfinished shellopencommand herunterladen
SOFTWAREClassesUltraEdit-32 Dokument shellopencommand
SOFTWAREClassesWhiteboard shellopencommand
SOFTWAREClassesvcard_wab_auto_file shellopencommand
SOFTWAREUlead SystemsUlead PhotoImpact4.0PathIeEdit.exe
SOFTWAREKasperskyLabComponents102EXEName

Beim Infizieren jeder Datei verwendet der Wurm die Companion-Infizierungsmethode: Er benennt eine Opferdatei mit acht Bytes mit dem zufälligen Namen und der Erweiterung .EXE (zum Beispiel: GTGUQPPA.EXE, XOHSKVXQ.EXE usw.) um und platziert sich selbst mit dem Namen Originaldatei. Daher wird die Wurmkopie jedes Mal ausgeführt, wenn ein Benutzer oder System die infizierte Datei ausführt.

Um die Kontrolle wieder an die Host-Datei zurückzugeben, speichert der Wurm die Dateinamen im Registrierungsschlüssel HKCUAppEventsSchemesApps.DefaultSystemStartWindows, zum Beispiel:


C: WIN95calc.exe "gtguqppa.exe"
C: WIN95mplayer.exe "xohskvxq.exe"
etc

Diese Information kann zum Desinfizieren des Computers verwendet werden.

Um bereits infizierte Dateien zu erkennen, verwendet der Wurm die FileVersion, die in PE EXE-Dateiressourcen gespeichert ist. In infizierten Dateien ist diese Variable auf "1.3.5.7" eingestellt.

Infizierte lokale und Netzwerklaufwerke

Der Wurm kopiert sich selbst und "registriert" sich auf den verfügbaren logischen Laufwerken: entfernbar, fest und Netzwerk. Beim Infizieren entfernbarer Dateien sucht der Wurm nach der Datei AUTOEXEC.BAT, fügt eine Anweisung zum Ausführen der Datei PKZIP.EXE beim Laden vom Laufwerk hinzu und kopiert sich mit dem Dateinamen PKZIP.EXE auf das Laufwerk.

Beim Infizieren von Festplatten sucht der Wurm in den Stammverzeichnissen auf diesen Laufwerken nach der Datei PKZIP.EXE und kopiert sich mit diesem Namen, wenn eine solche Datei dort nicht existiert. Um diese Datei auszuführen, erstellt der Wurm die Datei AUTORUN.INF auf dem Laufwerk und schreibt einen Anweisungsblock dorthin, um die Datei PKZIP.EXE (Wurmkopie) beim nächsten Windows-Star-Tup auszuführen:


[autorun]
Öffnen = pkzip.exe

Beim Infizieren eines Remote-Laufwerks prüft der Wurm dieses Laufwerk zunächst auf seine schriftliche Erlaubnis. Dazu erstellt der Wurm die Datei TEMP9385.058 und löscht sie. Falls während des Betriebs keine Fehler aufgetreten sind, verbreitet sich der Wurm weiter auf das Laufwerk. Es kopiert sich mit dem Namen PKZIP.EXE dorthin und erstellt die Datei AUTORUN.INF auf die gleiche Weise, wie es sich auf Festplatten auf dem lokalen Computer auswirkt. Darüber hinaus sucht der Wurm nach Windows- und WinNT-Verzeichnissen auf dem Laufwerk und registriert seine PKZIP.EXE-Kopie in der Datei WIN.INI in der Anweisung [Windows] "run". Diese Operation führt auch beim nächsten Windows-Start zu einer Wurmkopie-Ausführung.

Beim Infizieren von Netzlaufwerken zerstört der Wurm auch dort mehrere ausführbare Dateien und überschreibt sie mit seiner Kopie:


Acrobat3ReaderAcrod32.exe
Eudora95Eudora.exe
ProgrammdateienMicrosoft OfficeOfficeOutlook.exe
ProgrammdateienInternet ExplorerIexplore.exe
Programme FilesWinZipWinZip32.exe
ProgrammdateienMicrosoft OfficeOfficeWinWord.exe
ProgrammdateienNetscapeProgramNetscape.exe

Infizierender mIRC-Client und Verbreitung über IRC-Kanäle

Diese Routine wird abhängig von der Systemzeit ausgeführt, nicht jedes Mal, wenn infizierte Dateien ausgeführt werden. Es sucht nach dem mIRC-Client, der im System installiert ist, indem er auf die mIRC-Skriptdatei in den Verzeichnissen zugreift:


C: MIRCSCRIPT.INI
C: MIRC32SCRIPT.INI
C: ProgrammdateienMIRCSCRIPT.INI
C: ProgrammdateienMIRC32SCRIPT.INI

Wenn keine solchen Dateien existieren, verlässt der Wurm die Infektionsroutine. Andernfalls wird die Datei SCRIPT.INI mit einer Anweisung überschrieben, die die Datei C: PKZIP.EXE an alle Benutzer sendet, die den betroffenen Kanal aufrufen.

Infizierte E-Mails senden

Diese Routine wird in Abhängigkeit von der Systemzeit sowie der mIRC-Infektionsroutine ausgeführt. Zunächst ruft der Wurm den Eudora-Verzeichnisnamen ab, indem er auf den Registrierungsschlüssel zugreift: SoftwareQualcommEudoraCommandLine. Der Wurm scannt dann die ausgehende E-Mail-Datenbank von Eudora (die OUT.MBX-Dateien), ruft Adressen von dort ab und speichert sie in der Liste, an die die infizierte Nachricht gesendet wird. Es scheint, dass der Wurm auch die E-Mail-Adresse "support@microsoft.com" zu dieser Liste hinzufügt.

Der Wurm bereitet dann die C: USER.MSG-Datei vor, die dann verwendet wird, um das Eudora-Sendmail-System zu initialisieren. Der Wurm schreibt alle notwendigen Daten dorthin, um die Nachricht mit infiziertem Anhang zu senden:


An: Adressenliste aus der OUT.MBX-Datei plus "support@microsoft.com"
Betreff: Hier ist, was du angefordert hast
X-Anhänge: c: pkzip.exe;
Nachrichtentext:
Du hast das eine Weile zurück verlangt, also bist du hier.
genießen.

Der Wurm öffnet dann die C: USER.MSG-Datei durch eine Windows-Funktion, die Eudora sendmail aktiviert.

Diebstahl von Passwortdateien

Beim Installieren in das System und beim Infizieren von Dateien sucht der Wurm auch nach Windows-Passwortdateien (.PWL-Dateien), liest Passwörter von dort und hängt an den infizierten Dateikörper an.

Der Wurm sendet die Kennwörter nicht an eine Internetadresse, sondern hält sie nur an die infizierten Dateien angehängt. Als Ergebnis verlassen die gestohlenen Passwörter den Computer nur dann, wenn der Wurm seine Kopien auf Internet- oder IRC-Kanäle verteilt.

Payload-Routinen

Der Wurm hat viele Nutzroutinen, die je nach Systemdatum und -zeit aktiviert werden. Der Wurm durch diese Routinen:

– Hält den Computer an, indem er eine unbegrenzte Anzahl von Threads startet.

– Überschreibt den Registrierungsschlüssel .DEFAULTSoftwareMicrosoftRegEdt32Settings mit dem Wert "AutoRefresh = 0".

– Ändert die Internet Explorer-Einstellungen. Durch Umschreiben der Registrierungsschlüssel SOFTWAREMicrosoftInternet ExplorerMain setzt der Wurm die "Startseite" auf "http://www.whitehouse.com/" und "Suchseite" auf "http://www.bigboobies.com" und deaktiviert den Internet-Cache Aktualisierung.

Durch das Umschreiben der Registrierungsschlüssel SOFTWAREMicrosoftInternet ExplorerSearchUrl und SOFTWAREMicrosoftInternet ExplorerTypedURLs setzt der Wurm die Webseite "http://www.gayextreme.com/queer/handle-it.html" auf die erste Position der zuletzt verwendeten Webseiten; setzt "SearchURL" auf "http://www.fetishrealm.com/fatgirls/pic3.htm";

– Durch Umschreiben der SoftwareMirabilisICQBookmarks-Registrierungsschlüsselsätze:


"Hauptseite" zu "http://www.biggfantac.com/terra/index.html",
"Kundenunterstützung" zu "http://www.pornoparty.net"
"Menü" zu "http://www.gayextreme.com/queer/handle-it.html"

– Löscht alle Schlüssel von


SOFTWAREMicrosoftWindowsCurrentVersionUninstall oder
SOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones

– Legt Windows-Einstellungen fest:


RegisteredOwner = "Idiot mit einem Virus"
RegisteredOrganization und ProductID = "Registry Rage Virus L1999"

– Erzeugt C: POEM1.TXT oder C: POEM2.TXT Dateien, schreibt einen der Texte dorthin (siehe unten) und öffnet sie mit NOTEPAD.EXE. Der Text sieht folgendermaßen aus:


Für den Körper und den Geist zu verdienen, was auch immer gilt und vorwärts geht
und wird nicht durch den Tod fallen gelassen;
Ich werde den Egoismus überschwemmen und ihm alles zugrunde legen, und ich werde der sein
Barde der Persönlichkeit,
Und ich werde von Mann und Frau zeigen, dass entweder nur gleich ist
das andere,
Und ich werde zeigen, dass es in der Gegenwart keine Unvollkommenheit gibt, und
kann in der Zukunft keine sein,
Und ich werde zeigen, dass, was auch immer irgendjemandem passiert, es an die Reihe kommt
schöne Ergebnisse,
Und ich werde zeigen, dass nichts schöner als der Tod passieren kann …
– Walt Whitman
Nichts Göttliches stirbt. Alles Gute ist ewig fortpflanzungsfähig. Die Schönheit von
Die Natur reformiert sich selbst im Geist und nicht für unfruchtbare Kontemplation,
aber für die neue Schöpfung.
Alle Männer sind in gewisser Weise von dem Antlitz der Welt beeindruckt; manche Männer
sogar zu erfreuen. Diese Liebe zur Schönheit ist Geschmack. Andere haben die gleiche Liebe
in einem solchen Übermaß, dass sie sich nicht damit begnügen, zu bewundern, versuchen sie zu verkörpern
es in neuen Formen. Die Schaffung von Schönheit ist Kunst.
– Ralph Waldo Emerson

Die Payload-Routinen des Wurms löschen oder modifizieren auch verschiedene Windows-Einstellungen, minimieren Backup- und ScanDisk-Einstellungen, löschen Registry-Backup, etc


Link zum Original