Home  >  Sicherheit  > Artikel 20662

spacer

W32/Gibe (inkl. Varianten)

Gibe ist ein Wurm, der eine Hintertüre für potentielle Cracker öffnet. Da er sich als Microsoft-Update ausgibt, besteht die Möglichkeit, dass er eine nennenswerte Verbreitung erreicht. Zumindest ein paar Exemplare sind in der Schweiz schon eingetroffen.

blue_quad von Gaby Salvisberg (10.03.2003)

Der Gibe-Wurm tarnt sich als Microsoft-Update. Da kein seriöser Software-Anbieter unaufgefordert ausführbare Dateien verschicken würde, sollte Ihnen dies schon von vorneherein verdächtig vorkommen. Der Absende (meist "Microsoft") ist vom Wurm selber gefälscht.

Die Mail, mit der sich Gibe verbreitet, hat diese oder sehr ähnliche Kennzeichen:

Gefälschter Absender: Microsoft Corporation Security Center (oder ähnlich)

An: Microsoft Customer

Beispiel-Betreff: Internet Security Update

Beispiel-Name der Beilage: q216309.exe (oder ähnlich wie Patch123.exe, Update345.exe)

Im Mailtext wird behauptet, die Beilage sei ein wichtiges Update von Microsoft. So sieht der erste Abschnitt der ersten Gibe-Variante aus:

Microsoft Customer,

this is the latest version of security update, the known security vulnerabilities affecting Internet Explorer and MS Outlook/Express as well as six new vulnerabilities, and is discussed in Microsoft Security Bulletin MS02-005. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your computer.

-- Ende des Mail-Text-Zitates --

Lässt sich der Benutzer dazu hinreissen, die Beilage zu öffnen, zeigt der Wurm eine Dialogbox an, die vorgibt, ein Microsoft Security Update zu installieren.

Weiter kopiert der Wurm aus der Windows-Registry die Standard-Mail-Adresse des Benutzers und den von ihm verwendeten Postausgangsserver (SMTP). Diese Werte trägt er in eigene Registry-Einträge ein, die er hier anlegt (nur bei Wurm-Variante A):

HKEY_LOCAL_MACHINE\Software\AVTech

HKEY_LOCAL_MACHINE\Software\AVTech\Standard-Mail-Adresse

HKEY_LOCAL_MACHINE\Software\AVTech\Postausgangsserver

HKEY_LOCAL_MACHINE\Software\AVTech\Installed = ...by Begbie

Nun legt er die Datei q216309.exe im Windows-Ordner ab und eine Datei namens vtnmsccd.dll im Windows System-Ordner. Im Windows-Ordner landen auch noch drei weitere Dateien, die er sogleich startet: bctool.exe, winnetw.exe und gfxacc.exe. Damit zwei der letztgenannten Dateien auch beim nächsten Windows-Start ausgeführt werden, trägt er diese ebenfalls in der Windows-Registry ein, und zwar hier:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Eintrag: "3dfx Acc" Wert: Pfad zur Datei GFXACC.EXE

Eintrag: "LoadDBackup" Wert: Pfad zur Datei BCTOOL.EXE

In einer zusätzlichen Datei mit dem Namen 02_n803.dat speichert der Wurm Informationen über E-Mail-Empfänger, die er im Outlook Adressbuch und in auf der Festplatte gespeicherten Internet-Dateien findet.

Der Zweck der Dateien bctool.exe und winnetw.exe ist, den Wurm mit den eingangs beschriebenen Merkmalen an die Adressen zu verschicken, die in 02_n803.dat gesammelt wurden. Die Datei gfxacc.exe öffnet im Internet-Verkehr des infizierten PCs eine Hintertüre (genauer: den [1] Port 12387), über die sich ein Hacker den Zugang zum PC verschaffen könnte. Einige Antivirus-Programme identifizieren die Datei gfxacc.exe als separaten Trojaner, z.B. bei McAfee [2] als BackDoor-ABJ. Weitere Informationen finden Sie z.B. auch bei Symantec [3] und Sophos [4].

Neue Variante: W32/Gibe.B

Die gegen Ende Februar 2003 entdeckte Variante des Gibe-Wurms (Variante B) verwendet andere Dateinamen, gibt aber auch vor, ein Microsoft-Update zu sein. Beim Ausführen des infizierten Anhangs zeigt diese Variante sofort ein gefälschtes "Licence Agreement" (Lizenzbedingungen) an, das den Anschein macht, es stamme von Microsoft. Screenshots der Meldungen: siehe Original-Beschreibungen von F-Secure [5] und Kaspersky [6].

Unabhängig davon, ob der Benutzer "Ja" oder "Nein" anklickt, installiert sich der Wurm trotzdem. Er legt Dateien wie diese im temporären Ordner auf der Festplatte ab:

IEPatch.EXE

KaZaA upload.EXE

Porn.EXE

Sex.EXE

XboX Emulator.EXE

PS2 Emulator.EXE

XP update.EXE

XXX Video.EXE

Sick Joke.EXE

Free XXX Pictures.EXE

My naked sister.EXE

Hallucinogenic Screensaver.EXE

Cooking with Cannabis.EXE

Magic Mushrooms Growing.EXE

I-Worm_Gibe Cleaner.EXE

Falls ein Filesharing-Programm wie KaZaA installiert ist, kopiert "Gibe.B" dieselben Dateien auch in den durch KaZaA freigegebenen Ordner. Zusätzlich versucht Gibe sich auch innerhalb eines Netzwerks in die Systemordner anderer PCs zu kopieren, sofern diese freigegeben sind. Nicht zuletzt verbreitet er sich auch via IRC (Internet Relay Chat), indem er die Datei SCRIPT.INI überschreibt und sich damit jeweils an andere IRC-Benutzer zu übermitteln versucht.

Weitere Dateien und Registry-Einträge, die von der Wurm-Variante Gibe.B installiert werden:

Im Autostart-Ordner: WebLoader.exe

Im Windows-Ordner: GIBE.DLL, DX3DRndr.exe, MSBugAdv.exe, WMSysDx.bin, MSErr.bak, und eine Datei mit einem Namen ähnlich wie P270904.EXE

Im Windows-System-Ordner: MSWinsck.OCX

In diesem Registry-Zweig:

HKEY_LOCAL_MACHINE\Software\Microsoft\

..\Windows\CurrentVersion\Run

erstellt er diesen Eintrag: "DxLoad" = "%windir%\DX3DRndr.exe"

Ein weiterer Trick ist die verfängliche Signatur mancher Gibe-Mails, die vorgibt, von einem Virenscanner geprüft worden zu sein:

Outgoing mail is certified Virus Free.

Checked by (Herstellername) anti-virus system (http://www.(Herstellername).com

Release Date: (Datum)

Prävention:

Wichtig: Kein seriöser Software-Hersteller würde Ihnen seine Updates unaufgefordert per Mail schicken. Laden Sie Programme und Updates stets von den Original-Webseiten des Herstellers herunter und trauen Sie keinen Dateien, die Ihnen angeblich von Microsoft oder einem anderen Software-Hersteller unaufgefordert geschickt wurden. Ähnliche Tricks haben auch schon andere Schädlinge angewendet, denn solche Mails lassen sich sehr leicht fälschen.

Sollte Ihr PC bereits mit W32/Gibe infiziert sein, werden Sie ihn aber relativ einfach wieder los. Erstellen Sie zuerst eine Sicherungskopie Ihrer Windows Registry, denn eine Fehlmanipulation im Registry Editor könnte schwerwiegende Folgen für Ihr System haben.

Gehen Sie zu Startmenü/Ausführen, tippen Sie REGEDIT ein und drücken Sie die Enter-Taste. Dies startet den Registrierungs-Editor. Für die Registry-Sicherung achten Sie darauf, dass in der linken Fensterhälfte ganz zu oberst der erste Eintrag "Arbeitsplatz" markiert ist. Nach einem Klick auf "Registrierung/Registrierungsdatei exportieren" wählen Sie einen Namen für die Datei, z.B. backup.reg und einen Speicherort, z.B. den Desktop. Nach dem Speichern vermeiden Sie bitte einen Doppelklick auf die exportierte REG-Datei, ausser, es geht bei den Änderungen etwas schief oder Sie möchten die nun folgenden Änderungen rückgängig machen.

Für Gibe-Variante A gilt:

Im Registry-Editor gehen Sie zu HKEY_LOCAL_MACHINE\Software

Darin lokalisieren Sie den Zweig AVTech und löschen ihn, denn der ganze Zweig wurde vom Wurm erstellt.

Nun gehen Sie zu diesem Zweig und klicken in der linken Fensterhälfte einmal drauf, damit Sie in der rechten Fensterhälfte die Einträge sehen:

HKEY_LOCAL_MACHINE\Software\Microsoft\

..\Windows\CurrentVersion\Run

In der rechten Fensterhälfte klicken Sie folgende zwei Einträge mit der *rechten* Maustaste an und wählen "Löschen":

"3dfx Acc" Wert: Pfad zur Datei GFXACC.EXE

"LoadDBackup" Wert: Pfad zur Datei BCTOOL.EXE

Nun starten Sie den PC neu und löschen Sie die vom Wurm platzierten Dateien. Wenn Sie auf den Neustart verzichten, könnte es sein, dass Windows die Dateien blockiert, weil sie in Benutzung sind.

Im Ordner C:\Windows sind es diese Dateien: q216309.exe, bctool.exe, winnetw.exe, gfxacc.exe und 02_n803.dat

Und im Ordner C:\Windows\System ist es diese: vtnmsccd.dll

Die oben genannten Ordnernamen könnten ändern, falls z.B. Ihr Windows in einem anderen Ordner als C:\Windows\ installiert ist. Scannen Sie anschliessend Ihre Festplatten noch einmal mit einem aktualisierten Virenscanner.

Für Gibe-Variante B gilt:

Gehen Sie im Regitry-Editor (REGEDIT.EXE) zu diesem Registry-Zweig:

HKEY_LOCAL_MACHINE\Software\Microsoft\

..\Windows\CurrentVersion\Run

Entfernen Sie darin diesen Eintrag: "DxLoad" = "%windir%\DX3DRndr.exe"

Scannen Sie Ihre Festplatte mit einem aktuellen Virenscanner und scannen Sie damit alle Dateien. Was als Gibe-infiziert gefunden wird, lassen Sie löschen.

Weitere Informationen zur Variante B des Gibe-Wurms finden Sie auch bei McAfee [7], Norman [8] und Symantec [9].



  
Drucken Drucken
spacer
WeiterempfehlenWeiterempfehlen
spacer
Kommmentar Kommentieren       
spacer


Anzeige
Social Bookmarks
Favoriten Twitter Facebook WordPress Blogger
Ähnliche Artikel
W32/Swen.A (alias W32/Gibe.F)

Quasi als neue Variante des Gibe-Wurms verbreitet sich «Swen» seit dem 18. September 2003 recht schnell über verschiedene Kanäle.... W32/Swen.A (alias W32/Gibe.F)

Neuer «Swen»-Virus tarnt sich als Microsoft Sicherheits-Update

Gestern ist ein neuer Wurm aufgetaucht, der sich als Microsoft Sicherheits-Update ausgibt und sich innert kürzester Zeit recht weit verbreitet hat.... Neuer «Swen»-Virus tarnt sich als Microsoft Sicherheits-Update

Mehr Sicherheit
Aktuelle Bedrohungen
Flugzeug-iPhone-Brand: Schraube war schuld

Eine kleine Schraube und eine verpfuschte Reparatur waren schuld am iPhone-Brand, der sich im vergangenen November in einem Flugzeug einer australischen... Flugzeug-iPhone-Brand: Schraube war schuld

Cybercrime-Angriffe: Schweiz in den Top 10

Die Zahl der Cyber-Angriffe ist im letzten Jahr um 81 Prozent gestiegen. In Europa belegt Deutschland den ersten Platz in der Cybercrime-Rangliste. Doch... Cybercrime-Angriffe: Schweiz in den Top 10

Drive-by-Malware für Android entdeckt

Lookout warnt vor dem erstern Drive-by-Download-Schädling für Android-Nutzer. «NotCompatible» mogelt sich fast automatisch auf Ihr Smartphone. Drive-by-Malware für Android entdeckt

Flashback-Trojaner kostet Google viel Geld

Über Flashback dürften sich nicht nur die Besitzer befallener Rechner ärgern, sondern auch Google. Jeden Tag sollen dem Suchgiganten wegen des Trojaners... Flashback-Trojaner kostet Google viel Geld

Microsoft Security Essentials 4.0 ist da

Microsoft bietet mit Security Essentials 4.0 eine neue Version seiner Antiviren-Software für Windows zum kostenlosen Download an. Microsoft Security Essentials 4.0 ist da

Mehr Sicherheit
Leser empfehlen
Kaspersky: «Apple 10 Jahre hinter Microsoft»

Laut dem Sicherheitsexperten Eugene Kaspersky ist der Flashback-Ausbruch auf Apples Macs nur der Anfang einer neuen Malware-Welle. Kaspersky: «Apple 10 Jahre hinter Microsoft»

Chinesen klauen VMware-Quellcode

Teile des Quelltexts von VMware ESX ist gestohlen und online veröffentlicht worden. Welche Sicherheitsrisiken sich hieraus ergeben, ist noch unklar. Chinesen klauen VMware-Quellcode

Facebook: Schweizer offenbaren viel

Der Sicherheitsanbieter secure.me hat untersucht, wie (un)vorsichtig Europäer mit sensiblen Informationen auf Facebook umgehen. Obwohl im Ländervergleich... Facebook: Schweizer offenbaren viel

Russland, Hochburg der Cyberkriminellen

Cyberkriminelle «verdienen» jährlich über 12 Milliarden US-Dollar. Einen grossen Teil davon ergaunern sich russischsprachige Hacker. Russland, Hochburg der Cyberkriminellen

FlashPlayer-Update: So gehts richtig

Der FlashPlayer von Macromedia bzw. Adobe bedarf hie und da einer Generalüberholung - auch aus Sicherheitsgründen. FlashPlayer-Update: So gehts richtig

Mehr Sicherheit
ICT-PRESSETICKER
Award für das Best Cloud/Virtualisation Project of the Year an RICOH und Infosys vergeben
Datenschutz für Weltenbummler: Kroll Ontrack gibt Verhaltenstipps für sicheren Einsatz mobiler Gerät
CA Technologies Channel Index 2012: Cloud-Ausgaben in der Schweiz steigen
ti&m@school zum Zweiten ? Schule Milchbuck in Zürich
Mobile Aktien-Risikoanalyse der ti&m AG
Mehr
ANZEIGE
PROMOTION
PCTIPP ABONNIEREN
Holen Sie sich monatlich die besten Tipps und Tricks für den PC-Alltag nach Hause.
1-Jahres-Abo 54.-
2-Jahres-Abo 95.-
Geschenkabo
NEWSLETTER
Wir halten Sie auf dem Laufenden: Der Newsletter liefert Ihnen jeden Werktag das Aktuellste aus der Welt von Computer und Internet.

Anmelden
RSS-FEEDS
Die PCtipp-Website bietet RSS-Feeds an. Holen Sie sich die Schlagzeilen von PCtipp.ch schnell und bequem auf den Desktop oder bauen Sie diese in Ihre eigene Webseite ein.
zu den Feeds
Anzeige