W32/Kickin

Dieser Wurm verschickt auch Mails an Antivirus-Hersteller. So habe zum Beispiel das Labor der finnischen Antivirus-Expertin F-Secure schon einige solche automatisch verschickten Nachrichten erhalten, bevor man dort überhaupt das erste echte Exemplar des Schädlings zu Gesicht bekam.

Die Verbreitung des Wurms erfolgt über E-Mail, IRC (Internet Relay Chat) und über die Tauschbörsen Bearshare, Edonkey, KaZaA und Morpheus.

Die Mails, mit denen er eintrifft, tragen völlig unterschiedliche Betreffzeilen, Mail-Texte und Beilagennamen; aber fast immer in Englisch. Einige der verwendeten Mailtexte geben beispielsweise vor, Informationen über die derzeit grassierende Lungenseuche SARS zu enthalten, andere wollen dem Empfänger weismachen, die Beilage sei ein Update zu einem Symantec- oder Microsoft-Produkt, enthalte einen Bildschirmschoner, Ferienbilder oder einen Witz. Beispiele sehen Sie in der Kickin-Beschreibung von F-Secure [1]. Die Beilage selber ist eine ausführbare Datei mit einer Endung wie .SCR, .EXE, .COM oder .PIF.

Die Adressen, an die sich der Wurm verschickt, bezieht er aus den Adressbüchern und Kontaktlisten verschiedener Programme: ICQ, MSN Messenger, .NET Messenger, Outlook Express (Windows Adressbuch), Yahoo Messenger und aus HTML- und EML-Dateien, die er auf der Festplatte findet.

Die Verbreitung über KaZaA & Co. erfolgt bei Kickin auf dieselbe Weise wie bei anderen so genannten Peer-to-Peer-Würmern: Er macht den ins Internet freigegebenen Ordner des jeweiligen Programms ausfindig und kopiert sich unter einem der folgenden Dateinamen dort hinein, in der Hoffnung, andere P2P-Benutzer täten sich die Datei von dort herunterladen. Wer das angebliche Crack-Tool herunterlädt und ausführt, steckt damit seinen PC an:

AIM Remote Password Cracker.exe

Chaos Ip Spoof 2003.exe

FTP Cracker-2003(Crack the password of ANY FTP server with this tool!).exe

Hotmail Exploiter 2003.exe

Msn Messenger Remote Password Cracker 2003.exe

Netbios hacker.exe

Ultimate HackProg.exe

Virus Creation ToolKit-VX v7.1_create virii with this tool,Klez.H and Sircam has been created with version 6.exe

WebAttack-DoS Tool.exe

XNuker 2003.exe

Yahoo Remote Password Cracker Deluxe 2003.exe

Seine Verbreitung über IRC funktioniert so: Auf dem infizierten PC ersetzt er die Datei SCRIPT.INI des verwendeten IRC-Programms. Wenn mit dem so infizierten PC ein IRC-Kanal aufgesucht wird, verschickt das Script automatisch Nachrichten der folgenden Art an jeden Benutzer, der ab diesem Zeitpunkt den Kanal betritt:

<Name des Neuankömmlings> hi,im CyberWolf,15 and from austria and u?

oder

<Name des Neuankömmlings> check out this crazy screensaver!its magic!!!

Anschliessend verschickt der Wurm eine infizierte Datei namens Magical-Screensaver.scr an den Neuankömmling.

Ob ein Benutzer die Wurmdatei via Mail, Tauschbörse oder IRC bekommt, ist dann einerlei. Wenn der Benutzer die Datei ausführt, geschieht folgendes:

Der Wurm kopiert sich in eine versteckte Datei namens Cyberwolf.exe in den Windows-Ordner. Im System-Ordner von Windows werden weitere Exemplare des Wurms abgelegt, und zwar unter diesen Namen:

Api Hooking-Tutorial.exe

Christina Aguilera-The most beautiful girl on earth.scr

FixSql.com

format.com

Hotmail Hacker.exe

Kernel32.exe (mit den Datei-Attributen: "Versteckt" und "System")

Last Summer.scr

Love.scr

Magical-Screensaver.scr

mapi32.drv

MsnMsgs.exe

OutWar Demo.exe

Q30215HOTFIX.pif

Saddam-the real pics.scr

SARS-Guide.scr

Setup.exe

Soccer Database.exe

Virtual Joke.scr

Die Datei Kernel32.exe trägt der Kickin-Wurm in der Windows Registry ein, damit sie jedes Mal ausgeführt wird, wenn der Benutzer eine beliebige EXE-Datei startet.

Diese Modifikation findet in diesem Zweig statt:

HKEY_CLASSES_ROOT\exefile\shell\open\command

Und lautet so:

Standard = "(Windows-System-Ordner)\Kernel32.exe"%1"%*""

Der Wurm legt noch weitere Registry-Einträge an. In diesem Zweig sind es zwei, die beide bewirken, dass der Wurm bei jedem Systemstart geladen wird:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Die Einträge lauten:

"CyberWolf" = "(Windows-Ordner)\CyberWolf.exe"

"Windows Kernel" = "(Windows-System-Ordner)\Kernel32.exe"

Bisweilen werde auch dieser Eintrag erstellt:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\System

= (aktuelles Laufwerk):\(System-Ordner)\Kernel32.exe

Zusätzliche Registry-Änderungen in diesem Zweig bewirken, dass Dateiendungen und versteckte Dateien nicht angezeigt werden:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\

Explorer\Advanced

Hier ändert er den Wert "Hidden" auf "2" (normal wäre "1") und "HideFileExt" auf "1" (normal wäre "0").

Als wäre das nicht genug, erstellt er auch Einträge, die bewirken, dass explizit beim Starten des Registry-Editors (REGEDIT.EXE) und des MSCONFIG-Programms wieder ein Exemplar des Wurms ausgeführt wird. Das findet in diesem Registry-Zweig statt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths

Und zwar mit diesen Einträgen

REGEDIT.EXE mit dem Wert "(Standard)"="(Windows-System-Ordner)\kernel32.exe"

MSCONFIG.EXE mit dem Wert "(Standard)"="(Windows-System-Ordner)\kernel32.exe"

Seiner Beseitigung versucht er zusätzlich zu entgehen, indem er Fenster schliesst, die solche folgende Namen tragen:

Norton AntiVirus

LiveUpdate

System Configuration Utility

Process Viewer

Register-Editor

Windows Task Manager

Ausserdem beendet der Wurm System-Prozesse, die vom Namen her zu Virenscannern gehören könnten.

Je nach Datum und Systemzeit erstellt der Wurm noch harmlose Textdateien namens CyberWolf.txt oder Windows.lOg im Windows-Ordner. Der etwas offensichtlichere Schadensteil öffnet eine dieser Webseiten:

www.brain-hack.com

www.indiansnakes.cjb.net

www.christinaaguilera

www.catholicninjas.org/superfuntime/

Abgesehen von den lästigen Änderungen im System und der unerwünschten Verbreitung schickt der Wurm von jedem PC, der infiziert wurde, eine Mail an einige Antivirus-Hersteller. Informationen über diesen Schädling finden bei F-Secure, McAfee [2], Sophos [3], CAI [4] oder Symantec [5].

Beseitigung:

Die Beseitigung ist eher kompliziert, da der Wurm zahlreiche Registry-Einträge erstellt, die exakt jene Hilfsmittel beeinflussen, die zum Beseitigen eines solchen Wurms benötigt werden. Scannen Sie Ihre Festplatte mit einem aktuellen Virenscanner und lassen Sie alle gefundenen Wurm-Exemplare löschen. Sollte der Virenscanner nicht funktionieren, versuchen Sie es mit einem Direkt-ab-Web-Scanner wie z.B. ActiveScan von Panda [6].

Sie müssen auch die vom Wurm erstellten Registry-Einträge entfernen. Dies bedingt, dass Sie zuerst eine Kopie der Datei REGEDIT.EXE erstellen müssen. Hierzu gehen Sie am besten so vor:

Windows 95/98:

Gehen Sie zu "Start/Programme/MS-DOS-Eingabeaufforderung" und tippen Sie nacheinander folgende zwei Zeilen ein, die Sie mit Enter abschliessen:

copy regedit.exe regedit.com

start regedit.com

Windows ME:

Gehen Sie zu "Start/Programme/Zubehör/MS-DOS-Eingabeaufforderung" und tippen Sie nacheinander folgende zwei Zeilen ein, die Sie mit Enter abschliessen:

copy regedit.exe regedit.com

start regedit.com

Windows 2000:

Gehen Sie zu "Start/Ausführen", tippen Sie COMMAND ein und drücken Sie Enter. Nun tippen Sie nacheinander folgende drei Zeilen ein, die Sie mit Enter abschliessen:

cd \winnt

copy regedit.exe regedit.com

start regedit.com

Windows XP:

Gehen Sie zu "Start/Ausführen", tippen Sie COMMAND ein und drücken Sie Enter. Nun tippen Sie nacheinander folgende vier Zeilen ein, die Sie mit Enter abschliessen:

cd\

cd \windows

copy regedit.exe regedit.com

start regedit.com

Nun wird die Kopie des Registry-Editors gestartet. Schliessen Sie NICHT das DOS-Fenster, bis Sie mit dem Ändern der Registry fertig sind. Und wie wir an dieser Stelle zu warnen pflegen: Ein falscher Eingriff in die Windows-Registry kann unliebsame Auswirkungen auf Ihr System haben. Legen Sie im Registry-Editor via "Registrierung/Registrierungsdatei exportieren" am besten eine Sicherung an, bevor Sie die in der oben stehenden Beschreibung erwähnten Registry-Einträge entfernen.