News 07.11.2002, 01:15 Uhr

W32.Bride

Dieser Mail-Wurm pflanzt einen älteren Dateivirus ins System.
Bride ist ein Mail-Wurm, der gemäss den finnischen Antivirus-Experten von F-Secure [1] erstmals am 4. November 2002 in "freier Wildbahn" aufgetaucht ist. F-Secure selber führt ihn unter dem Namen Bridex, andere Antivirus-Hersteller haben ihn Braid, W32/Braid@mm, W32/Braid.A-mm, I-Worm.Bridex oder W32/Bridex.A@mm getauft.
Einige Virenscanner werden im Wurm bereits den Virus "Funlove.4099" erkennen, da Bride eine Variante des Funlove-Virus [2] mitführt.
Der Wurm trifft in einer E-Mail mit folgenden Kennzeichen ein:
Betreff: (leer oder ein Firmenname)
Mailtext:
Hello,
Product Name: <die Windows Version des Absenders>
Product Id: <die Windows-Produkt-ID mit mehreren Ziffern>
(Ev. noch Zeilen mit "Product Key" und "Process List")
Thank you.
Name der Beilage: README.EXE
In zukünftigen Varianten des Schädlings sind erfahrungsgemäss auch andere Dateinamen und Mailtexte zu erwarten.
Wie schon etliche Viren und Würmer zuvor, missbraucht auch Bride die so genannte IFRAME-Sicherheitslücke im Internet Explorer. Schon seit Frühling 2001 sind bei Microsoft (via Windows-Update) entsprechende Patches verfügbar, um diese Sicherheitslücke zu stopfen. Ohne die Patches gelingt es dem Wurm in Outlook oder Outlook Express die schädliche Beilage sofort zu starten, schon während der Benutzer die Mail liest.
Wenn die Beilage entweder aufgrund der Sicherheitslücke automatisch ausgeführt wird oder wenn ein gutgläubiger Benutzer die Beilage (README.EXE) manuell startet, geschieht folgendes:
Der Wurm erstellt auf dem Desktop zwei Dateien:
HELP.EML mit einem Briefumschlag-Symbol. In manchen Windows-Versionen wird die Endung EML möglicherweise nicht angezeigt.
EXPLORER.EXE mit dem Symbol des Internet Explorers
Vorsicht: Es gibt unter Windows auch eine legitime Datei namens EXPLORER.EXE. Diese liegt jedoch direkt im Windows-Ordner (C:\Windows\ oder C:\Winnt\).
Nun kopiert sich der Schädling mit dem Dateinamen REGEDIT.EXE in den Systemordner von Windows (z.B. in C:\Windows\System\ oder C:\Winnt\system32\).
Vorsicht: Es gibt unter Windows auch eine legitime Datei namens REGEDIT.EXE. Diese liegt jedoch direkt im Windows-Ordner (C:\Windows\ oder C:\Winnt\).
Die vom Wurm abgelegte Datei wird anschliessend in der Windows Registry eingetragen, damit sie bei jedem Windows-Start ausgeführt wird. Der Eintrag findet in diesem Registry-Schlüssel statt:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
Der Eintrag lautet: regedit = %WinSystem%\regedit.exe
(Statt %WinSystem% steht z.B. C:\Windows\System\)
Der Wurm erstellt noch drei weitere Registry-Einträge unter diesem Zweig:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Explorer\RemoteComputer
Der Bride-Wurm legt eine leicht veränderte Variante des Funlove-Virus ab. Im Gegensatz zur ursprünglichen Funlove-Variante heisst die im Windows System-Ordner abgelegte Datei nicht FLCSS.EXE, sondern BRIDE.EXE (siehe Link am Ende dieses Artikels).
Hat es der Wurm bis hierhin geschafft, infiziert er die Windows-Datei MSCONFIG.EXE mit dem Funlove-Virus und startet ihn. Der Funlove-Virus infiziert auf der Festplatte alle Programmdateien mit Endung EXE und beginnt, weitere EXE-Dateien auf Laufwerken zu infizieren, die im lokalen Netzwerk freigegeben sind.
Wie schon andere Schädlinge zuvor, versucht der Bride-Wurm im System laufende Prozesse zu beenden, und zwar jene mit diesen Zeichenkombinationen im Prozessnamen:
MST
MS_
- S
_NP
VIEW
IRMON
SMTPSVC
MONIKER
PROGRAM
Bemerkt der Wurm Programme oder Ordner mit den folgenden Zeichenkombinationen, bringt er Windows zum Absturz und zwingt den Benutzer zu einem Windows-Neustart:
mon
vir
iom
anti
fire
prot
secu
view
debug
Nicht zuletzt sammelt der Wurm natürlich E-Mail-Adressen, an die er sich weiterverbreitet. Diese Adressen findet er im Outlook Adressbuch, in Dateien mit Endung HTM oder in den Outlook Express Maildateien namens DBX.
Wie Sie den Wurm loswerden:
Aktualisieren Sie Ihren Virenscanner, starten Sie Ihren PC im abgesicherten Modus und scannen Sie alle lokalen Festplatten-Laufwerke. Versuchen Sie jene Dateien zu säubern, die mit dem Funlove.4099-Virus infiziert sind. Lassen Sie diese Dateien löschen:
Auf dem Desktop: HELP.EML und EXPLORER.EXE
In C:\Windows\System oder C:\Winnt\System32 oder C:\Windows\System32 die Dateien REGEDIT.EXE und BRIDE.EXE
Die Datei MSCONFIG.EXE müssen Sie ebenfalls löschen und später ab CD-ROM wiederherstellen.
Nun müssen Sie noch den Registry-Editor starten, um die Einträge des Virus zu entfernen. Damit Sie die richtige REGEDIT-Datei erwischen, gehen Sie zu "Start/Ausführen" und klicken Sie auf "Durchsuchen". Öffnen Sie im Durchsuchen-Fenster den Ordner C:\Windows bzw. C:\Winnt, wählen Sie die Datei REGEDIT.EXE und drücken Sie Enter.
Navigieren Sie im Registry-Editor zu diesem Registry-Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
... und entfernen Sie diesen Eintrag:
regedit = %WinSystem%\regedit.exe
Führen Sie danach nochmals einen kompletten Virenscan durch. Infos über den Bride-Wurm finden Sie zum Beispiel auch bei Kaspersky [3], NAI (McAfee) [4], Sophos [5] oder Symantec (Norton) [6]. Es könnte sein, dass einer oder mehrere dieser Antivirushersteller ein spezielles Beseitigungs-Werkzeug gegen den Bride-Wurm veröffentlicht.



Kommentare
Es sind keine Kommentare vorhanden.