DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Kategorie
Net-Worm
Plattform
Win32

Hauptgruppierung: VirWare

Viren und Würmer sind bösartige Programme, die sich auf Computern oder in Computernetzwerken replizieren, ohne dass der Benutzer dies bemerkt. Jede nachfolgende Kopie solcher Schadprogramme kann sich auch selbst replizieren.

Schädliche Programme, die sich über Netzwerke ausbreiten oder entfernte Maschinen infizieren, wenn dies vom "Eigentümer" (z. B. Hintertüren) verlangt wird, oder Programme, die mehrere Kopien erstellen, die sich nicht selbst replizieren können, gehören nicht zur Unterklasse Viren und Würmer.

Das Hauptmerkmal, das verwendet wird, um zu bestimmen, ob ein Programm als separates Verhalten innerhalb der Unterklasse Viren und Würmer klassifiziert ist, ist, wie sich das Programm verbreitet (dh wie das bösartige Programm Kopien von sich über lokale oder Netzwerkressourcen verbreitet).

Die meisten bekannten Würmer verteilen sich als Dateien, die als E-Mail-Anhänge gesendet werden, über einen Link zu einer Web- oder FTP-Ressource, über einen Link in einer ICQ- oder IRC-Nachricht, über P2P-Filesharing-Netzwerke usw.

Einige Würmer verbreiten sich als Netzwerkpakete; diese dringen direkt in den Computerspeicher ein und der Wurmcode wird dann aktiviert.

Würmer verwenden die folgenden Techniken, um entfernte Computer zu durchdringen und Kopien von sich selbst zu starten: Social Engineering (z. B. eine E-Mail-Nachricht, die darauf hinweist, dass der Benutzer eine angehängte Datei öffnet), Ausnutzen von Netzwerkkonfigurationsfehlern (z. B. Kopieren auf eine voll zugängliche Festplatte) Lücken in der Betriebssystem- und Anwendungssicherheit.

Viren können nach der Methode aufgeteilt werden, die zum Infizieren eines Computers verwendet wird:

Dateiviren
Boot-Sektor-Viren
Makroviren
Skriptviren
Jedes Programm in dieser Unterklasse kann zusätzliche Trojanerfunktionen haben.

Es sollte auch beachtet werden, dass viele Würmer mehr als eine Methode verwenden, um Kopien über Netzwerke zu verbreiten. Die Regeln zum Klassifizieren erkannter Objekte mit mehreren Funktionen sollten verwendet werden, um diese Arten von Würmern zu klassifizieren.

Kategorie: Net-Worm

Net-Worms propagieren über Computernetze. Das Unterscheidungsmerkmal dieser Art von Wurm ist, dass keine Benutzeraktion erforderlich ist, um sich zu verbreiten.

Diese Art von Wurm sucht normalerweise nach kritischen Schwachstellen in Software, die auf Computern im Netzwerk ausgeführt wird. Um die Computer im Netzwerk zu infizieren, sendet der Wurm ein speziell gestaltetes Netzwerkpaket (ein Exploit genannt) und als Folge dringt der Wurmcode (oder ein Teil des Wurmcodes) in den Opfercomputer ein und aktiviert ihn. Manchmal enthält das Netzwerkpaket nur den Teil des Wurmcodes, der eine Datei mit dem Hauptwurmmodul herunterlädt und ausführt. Einige Netzwerkwürmer verwenden mehrere Exploits gleichzeitig, um sich zu verbreiten und erhöhen so die Geschwindigkeit, mit der sie Opfer finden.


Mehr Informationen

Plattform: Win32

Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.

Beschreibung

Technische Details

Dies ist ein Virus-Wurm, der sich über das Internet an infizierte E-Mails bindet und sich über ein lokales Netzwerk in freigegebene Verzeichnisse kopiert und auch anfällige IIS-Computer (Websites) angreift. Der Wurm selbst ist eine Windows PE EXE-Datei mit einer Länge von ca. 57 KB und ist in Microsoft C ++ geschrieben.

Um von einer infizierten Nachricht zu starten, nutzt der Wurm eine Sicherheitsverletzung. Der Wurm installiert sich dann selbst im System und führt eine Spreizroutine und Nutzlast aus.

Der Wurm enthält die folgende "copyright" Textzeichenfolge:

Konzeptvirus (CV) V.5, Copyright (C) 2001 RPChina

Installieren

Während der Installation kopiert sich der Wurm selbst:

in das Windows-Verzeichnis mit dem Namen MMC.EXE

in das Windows-Systemverzeichnis mit RICHED20.DLL (und überschreibt ursprüngliche Windows RICHED20.DLL-Datei) und mit dem Namen LOAD.EXE.

Das letzte wird dann in dem Auto-run-Abschnitt in einer Datei SYSTEM.INI registriert:

[boot] shell = explorer.exe load.exe -dontrunold

Der Wurm kopiert sich auch in ein temporäres Verzeichnis mit zufälligen MEP * .TMP und MA * .TMP.EXE Namen, zum Beispiel:

mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP

EXE-Dateien haben Versteckte und Systemattribute sowie eine LOAD.EXE-Datei (siehe oben).

Der Wurm führt dann seine Verbreitungs- und Nutzlastroutinen aus. Abhängig von der Windows-Version beeinflusst der Wurm den EXLORER.EXE-Prozess und kann seine Routinen als Hintergrundprozess (Thread) eines EXPLORERS ausführen.

Verbreitung per E-Mail

Um infizierte Nachrichten zu senden, stellt der Wurm mithilfe des SMTP-Protokolls eine Verbindung zu einem Hostcomputer her und sendet seine Kopien an die Opferadressen.

Um Wurm-E-Mail-Adressen zu erhalten, verwendet der Wurm zwei Möglichkeiten:

1. Scannt * .HTM- und * .HTML-Dateien und sucht nach E-Mail-ähnlichen Strings

2. stellt mithilfe von MAPI eine Verbindung zu MS Exchange-E-Mail-Boxen her und ruft von dort E-Mail-Adressen ab.

Die infizierten Nachrichten sind im HTML-Format und enthalten:

Betreff: leer oder zufällig
Körper: leer
Anhängen: README.EXE
Themen werden aus dem Namen einer zufällig ausgewählten Datei aus einem Ordner ausgewählt:

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal

Normalerweise ist dies "Meine Dokumente" oder eine zufällig ausgewählte Datei auf dem Laufwerk C:.

Um sich von infizierten Nachrichten zu verbreiten, benutzt der Wurm einen "IFRAME" -Trick; die beschriebene Sicherheitslücke bei:

Microsoft Security Bulletin (MS01-020): Falscher MIME-Header kann dazu führen, dass IE E-Mail-Anhang ausführt http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Patch herunterladen:

http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

Was verursacht die Sicherheitsanfälligkeit?

Wenn eine HTML-Mail einen ausführbaren Anhang enthält, dessen MIME-Typ fälschlicherweise als einer von mehreren ungewöhnlichen Typen angegeben ist, führt ein Fehler im IE dazu, dass der Anhang ausgeführt wird, ohne dass ein Warndialog angezeigt wird.

Was macht der Patch?

Der Patch behebt die Sicherheitsanfälligkeit, indem die Tabelle der MIME-Typen und die zugehörigen Aktionen in IE korrigiert werden. Dies verhindert, dass E-Mails ausführbare Anhänge automatisch starten können.

Verbreitung über das lokale Netzwerk

Der Wurm scannt lokale und freigegebene (zugeordnete) Remote-Laufwerke auf drei verschiedene Arten und infiziert alle zugänglichen Verzeichnisse dort.

Während der Infektion verwendet der Wurm zwei verschiedene Arten:

1. Es erstellt .EML (95% der Zeit) oder .NWS (5%) Dateien mit zufällig gewählten Namen. Daher befinden sich diese EML- und NWS-Dateien überall auf einem infizierten Computer (und im lokalen Netzwerk), und es kann Tausende von ihnen geben. Diese Dateien enthalten die Kopie des Wurms im E-Mail-Format.

Das E-Mail-Formular ist eine HTML-E-Mail-Nachricht mit der Wurmkopie in einem MIME-Umschlag und mit einem IFRAME-Trick wie oben beschrieben. Beim Öffnen infiziert diese Nachricht sofort eine anfällige Maschine.

2. Der Wurm sucht nach Kombinationen aus Dateiname und Erweiterung:

* DEFAULT *, * INDEX *, * MAIN *, * README * + .HTML, .HTM, .ASP

(* NAME * bedeutet, dass eine Unterzeichenfolge im Dateinamen sein kann)

Falls eine solche Datei gefunden wird, kopiert sich der Wurm in E-Mail-Form mit dem Namen README.EML dorthin und hängt an die HTM / ASP-Datei eines Opfers ein JavaScript-Programm an, das einfach die README.EML-Datei beim HTML / ASP öffnet Datei wird geöffnet, wodurch der Wurm aktiviert wird.

Infolgedessen infiziert der Wurm Webseiten und kann sich auf Computer verbreiten, die diese Websites besuchen.

Verbreitung als IIS-Angriff

Um seine Datei auf den Computer eines Opfers hochzuladen, verwendet der Wurm einen "tftp" -Befehl und aktiviert einen temporären TFTP-Server auf einem infizierten (aktuellen) Computer, um den "get data" -Befehl von der (entfernten) Maschine des Opfers genau zu verarbeiten So wie der {"BlueCode": IISWorm_BlueCode} IIS Wurm.

Der Name der Datei, die auf den Computer eines Opfers hochgeladen wird, lautet ADMIN.DLL.

Payloads

Die Nutzlast-Routine fügt der Administrator-Benutzergruppe den Benutzer "Gast" hinzu (daher hat ein Gast-Benutzer vollen Zugriff auf eine infizierte Maschine).

Der Wurm öffnet auch alle lokalen Laufwerke für die Freigabe.

Es gibt verschiedene Varianten des Wurms "Nimda".

Sie alle sind dem Original sehr verschlossen, und die meisten von ihnen sind nur eine "gepatchte" Version des ursprünglichen Wurms - die Textstrings im Wurmkörper werden durch andere Zeichenketten ersetzt.

Nimda.b

Dies ist der originale "Nimda" -Wurm, jedoch komprimiert von einem PCShrink Win32 PE EXE-Dateikompressor. Die Saiten:

README.EXE, README.EML

werden ersetzt durch:

PUTA, SCR, PUTA, EML

Nimda.c

Dies ist genau der ursprüngliche "Nimda" -Wurm, obwohl er von einem UPX-Kompressor komprimiert wurde.

Nimda.d

Diese Variante des Wurms wurde Ende Oktober 2001 an das Internet verschickt. Sie wurde in komprimierter Form (PECompact compressor) verbreitet, und diese Form ist 27K groß.

Der einzige Unterschied zum ursprünglichen Wurm sind die "copyright" -Textzeichenfolgen, die in dieser Version mit dem folgenden Text gepatcht werden:

Holocaust-Virus.! V.5.2 von Stephan Fernandez.Spain

Nimda.e

Dies ist eine neu kompilierte "Nimda" -Variante, und es gibt mehrere kleinere Routinen, entweder leicht korrigiert und / oder optimiert. Diese Variante wurde Ende Oktober 2001 in freier Wildbahn gefunden.

Die sichtbaren Unterschiede zur ursprünglichen Wurm-Version sind:

Der angehängte Dateiname:
SAMPLE.EXE (anstelle von README.EXE)

Die DLL-Dateien sind:
HTTPODBC.DLL und COOL.DLL (anstelle von ADMIN.DLL)

Der Text "Copyright" wird ersetzt durch:
Konzeptvirus (CV) V.6, Copyright (C) 2001, (Dieser Lebenslauf, kein Nimda.)

Mehr erfahren

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com

Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden? Mitteilen!
Kaspersky Next
Let´s go Next: Cybersicherheit neu gedacht
Erfahren Sie mehr
Neu: Kaspersky!
Dein digitales Leben verdient umfassenden Schutz!
Erfahren Sie mehr
Confirm changes?
Your message has been sent successfully.