W32/Gibe (inkl. Varianten)

Der Gibe-Wurm tarnt sich als Microsoft-Update. Da kein seriöser Software-Anbieter unaufgefordert ausführbare Dateien verschicken würde, sollte Ihnen dies schon von vorneherein verdächtig vorkommen. Der Absende (meist "Microsoft") ist vom Wurm selber gefälscht.

Die Mail, mit der sich Gibe verbreitet, hat diese oder sehr ähnliche Kennzeichen:

Gefälschter Absender: Microsoft Corporation Security Center (oder ähnlich)

An: Microsoft Customer

Beispiel-Betreff: Internet Security Update

Beispiel-Name der Beilage: q216309.exe (oder ähnlich wie Patch123.exe, Update345.exe)

Im Mailtext wird behauptet, die Beilage sei ein wichtiges Update von Microsoft. So sieht der erste Abschnitt der ersten Gibe-Variante aus:

Microsoft Customer,

this is the latest version of security update, the known security vulnerabilities affecting Internet Explorer and MS Outlook/Express as well as six new vulnerabilities, and is discussed in Microsoft Security Bulletin MS02-005. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your computer.

-- Ende des Mail-Text-Zitates --

Lässt sich der Benutzer dazu hinreissen, die Beilage zu öffnen, zeigt der Wurm eine Dialogbox an, die vorgibt, ein Microsoft Security Update zu installieren.

Weiter kopiert der Wurm aus der Windows-Registry die Standard-Mail-Adresse des Benutzers und den von ihm verwendeten Postausgangsserver (SMTP). Diese Werte trägt er in eigene Registry-Einträge ein, die er hier anlegt (nur bei Wurm-Variante A):

HKEY_LOCAL_MACHINE\Software\AVTech

HKEY_LOCAL_MACHINE\Software\AVTech\Standard-Mail-Adresse

HKEY_LOCAL_MACHINE\Software\AVTech\Postausgangsserver

HKEY_LOCAL_MACHINE\Software\AVTech\Installed = ...by Begbie

Nun legt er die Datei q216309.exe im Windows-Ordner ab und eine Datei namens vtnmsccd.dll im Windows System-Ordner. Im Windows-Ordner landen auch noch drei weitere Dateien, die er sogleich startet: bctool.exe, winnetw.exe und gfxacc.exe. Damit zwei der letztgenannten Dateien auch beim nächsten Windows-Start ausgeführt werden, trägt er diese ebenfalls in der Windows-Registry ein, und zwar hier:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Eintrag: "3dfx Acc" Wert: Pfad zur Datei GFXACC.EXE

Eintrag: "LoadDBackup" Wert: Pfad zur Datei BCTOOL.EXE

In einer zusätzlichen Datei mit dem Namen 02_n803.dat speichert der Wurm Informationen über E-Mail-Empfänger, die er im Outlook Adressbuch und in auf der Festplatte gespeicherten Internet-Dateien findet.

Der Zweck der Dateien bctool.exe und winnetw.exe ist, den Wurm mit den eingangs beschriebenen Merkmalen an die Adressen zu verschicken, die in 02_n803.dat gesammelt wurden. Die Datei gfxacc.exe öffnet im Internet-Verkehr des infizierten PCs eine Hintertüre (genauer: den [1] Port 12387), über die sich ein Hacker den Zugang zum PC verschaffen könnte. Einige Antivirus-Programme identifizieren die Datei gfxacc.exe als separaten Trojaner, z.B. bei McAfee [2] als BackDoor-ABJ. Weitere Informationen finden Sie z.B. auch bei Symantec [3] und Sophos [4].

Neue Variante: W32/Gibe.B

Die gegen Ende Februar 2003 entdeckte Variante des Gibe-Wurms (Variante B) verwendet andere Dateinamen, gibt aber auch vor, ein Microsoft-Update zu sein. Beim Ausführen des infizierten Anhangs zeigt diese Variante sofort ein gefälschtes "Licence Agreement" (Lizenzbedingungen) an, das den Anschein macht, es stamme von Microsoft. Screenshots der Meldungen: siehe Original-Beschreibungen von F-Secure [5] und Kaspersky [6].

Unabhängig davon, ob der Benutzer "Ja" oder "Nein" anklickt, installiert sich der Wurm trotzdem. Er legt Dateien wie diese im temporären Ordner auf der Festplatte ab:

IEPatch.EXE

KaZaA upload.EXE

Porn.EXE

Sex.EXE

XboX Emulator.EXE

PS2 Emulator.EXE

XP update.EXE

XXX Video.EXE

Sick Joke.EXE

Free XXX Pictures.EXE

My naked sister.EXE

Hallucinogenic Screensaver.EXE

Cooking with Cannabis.EXE

Magic Mushrooms Growing.EXE

I-Worm_Gibe Cleaner.EXE

Falls ein Filesharing-Programm wie KaZaA installiert ist, kopiert "Gibe.B" dieselben Dateien auch in den durch KaZaA freigegebenen Ordner. Zusätzlich versucht Gibe sich auch innerhalb eines Netzwerks in die Systemordner anderer PCs zu kopieren, sofern diese freigegeben sind. Nicht zuletzt verbreitet er sich auch via IRC (Internet Relay Chat), indem er die Datei SCRIPT.INI überschreibt und sich damit jeweils an andere IRC-Benutzer zu übermitteln versucht.

Weitere Dateien und Registry-Einträge, die von der Wurm-Variante Gibe.B installiert werden:

Im Autostart-Ordner: WebLoader.exe

Im Windows-Ordner: GIBE.DLL, DX3DRndr.exe, MSBugAdv.exe, WMSysDx.bin, MSErr.bak, und eine Datei mit einem Namen ähnlich wie P270904.EXE

Im Windows-System-Ordner: MSWinsck.OCX

In diesem Registry-Zweig:

HKEY_LOCAL_MACHINE\Software\Microsoft\

..\Windows\CurrentVersion\Run

erstellt er diesen Eintrag: "DxLoad" = "%windir%\DX3DRndr.exe"

Ein weiterer Trick ist die verfängliche Signatur mancher Gibe-Mails, die vorgibt, von einem Virenscanner geprüft worden zu sein:

Outgoing mail is certified Virus Free.

Checked by (Herstellername) anti-virus system (http://www.(Herstellername).com

Release Date: (Datum)

Prävention:

Wichtig: Kein seriöser Software-Hersteller würde Ihnen seine Updates unaufgefordert per Mail schicken. Laden Sie Programme und Updates stets von den Original-Webseiten des Herstellers herunter und trauen Sie keinen Dateien, die Ihnen angeblich von Microsoft oder einem anderen Software-Hersteller unaufgefordert geschickt wurden. Ähnliche Tricks haben auch schon andere Schädlinge angewendet, denn solche Mails lassen sich sehr leicht fälschen.

Sollte Ihr PC bereits mit W32/Gibe infiziert sein, werden Sie ihn aber relativ einfach wieder los. Erstellen Sie zuerst eine Sicherungskopie Ihrer Windows Registry, denn eine Fehlmanipulation im Registry Editor könnte schwerwiegende Folgen für Ihr System haben.

Gehen Sie zu Startmenü/Ausführen, tippen Sie REGEDIT ein und drücken Sie die Enter-Taste. Dies startet den Registrierungs-Editor. Für die Registry-Sicherung achten Sie darauf, dass in der linken Fensterhälfte ganz zu oberst der erste Eintrag "Arbeitsplatz" markiert ist. Nach einem Klick auf "Registrierung/Registrierungsdatei exportieren" wählen Sie einen Namen für die Datei, z.B. backup.reg und einen Speicherort, z.B. den Desktop. Nach dem Speichern vermeiden Sie bitte einen Doppelklick auf die exportierte REG-Datei, ausser, es geht bei den Änderungen etwas schief oder Sie möchten die nun folgenden Änderungen rückgängig machen.

Für Gibe-Variante A gilt:

Im Registry-Editor gehen Sie zu HKEY_LOCAL_MACHINE\Software

Darin lokalisieren Sie den Zweig AVTech und löschen ihn, denn der ganze Zweig wurde vom Wurm erstellt.

Nun gehen Sie zu diesem Zweig und klicken in der linken Fensterhälfte einmal drauf, damit Sie in der rechten Fensterhälfte die Einträge sehen:

HKEY_LOCAL_MACHINE\Software\Microsoft\

..\Windows\CurrentVersion\Run

In der rechten Fensterhälfte klicken Sie folgende zwei Einträge mit der *rechten* Maustaste an und wählen "Löschen":

"3dfx Acc" Wert: Pfad zur Datei GFXACC.EXE

"LoadDBackup" Wert: Pfad zur Datei BCTOOL.EXE

Nun starten Sie den PC neu und löschen Sie die vom Wurm platzierten Dateien. Wenn Sie auf den Neustart verzichten, könnte es sein, dass Windows die Dateien blockiert, weil sie in Benutzung sind.

Im Ordner C:\Windows sind es diese Dateien: q216309.exe, bctool.exe, winnetw.exe, gfxacc.exe und 02_n803.dat

Und im Ordner C:\Windows\System ist es diese: vtnmsccd.dll

Die oben genannten Ordnernamen könnten ändern, falls z.B. Ihr Windows in einem anderen Ordner als C:\Windows\ installiert ist. Scannen Sie anschliessend Ihre Festplatten noch einmal mit einem aktualisierten Virenscanner.

Für Gibe-Variante B gilt:

Gehen Sie im Regitry-Editor (REGEDIT.EXE) zu diesem Registry-Zweig:

HKEY_LOCAL_MACHINE\Software\Microsoft\

..\Windows\CurrentVersion\Run

Entfernen Sie darin diesen Eintrag: "DxLoad" = "%windir%\DX3DRndr.exe"

Scannen Sie Ihre Festplatte mit einem aktuellen Virenscanner und scannen Sie damit alle Dateien. Was als Gibe-infiziert gefunden wird, lassen Sie löschen.

Weitere Informationen zur Variante B des Gibe-Wurms finden Sie auch bei McAfee [7], Norman [8] und Symantec [9].