W32.Shoho alias Welyah

Eine mittlere Verbreitung ist Ende Dezember 2001 dem Shoho-Wurm gelungen, dessen technische Beschreibung Sie in einigen Antivirus-Datenbanken finden: Computer Associates [1], F-Secure [2], Kaspersky [3], Network Associates (McAfee) [4], Panda [5], Sophos [6], Symantec (Norton) [7] und TrendMicro [8]. Die Beschreibungen von F-Secure und Kaspersky enthalten übrigens einen Screenshot der unliebsamen Mail.

Bei Shoho handelt es sich um einen Massenmailer, der sich mit einem geschickt verfälschten Dateinamen versteckt. Die Mail sieht so aus:

Betreff: Welcome to Yahoo! Mail

Name der Beilage: Readme.txt(125 Leerzeichen).pif

Mail-Text: Welcome to Yahoo! Mail

Die vielen Leerzeichen zwischen der Pseudo-Endung "TXT" und der wahren Endung "PIF" sollen den Empfänger einer solchen Mail an der Nase herumführen und ihn Glauben machen, er hätte eine harmlose Text-Datei vor sich.

Wie es bereits viele andere Mail-Würmer tun, missbraucht auch Shoho die IFRAME-Sicherheitslücke, um die infizierte Beilage automatisch zu starten, schon bei der Vorschau der bösen Mail. Verhindern Sie dies, indem Sie entweder den notwendigen Patch installieren [9] oder ein Update auf die Internet Explorer-Versionen 5.01 SP2, 5.5 SP2 oder 6.0 vornehmen, denn diese Versionen beinhalten den Patch bereits.

Wird also die Beilage gestartet, passiert folgendes:

Der Wurm kopiert sich mit dem Namen Winl0g0n.exe in die Ordner C:\Windows und C:\Windows\System. Beachten Sie, dass es sich bei den "0" nicht um den Buchstaben "O" handelt, sondern um die Ziffer Null. Auch dies ist ein alter Virentrick.

Nun fügt er den Eintrag "WINL0G0N c:\windows\WINL0G0N.EXE" in die folgenden Registry-Schlüssel ein, damit der Wurm bei jedem Windows-Start automatisch mitgeladen wird:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run

Shoho erstellt nun im Windows- oder Windows-System-Ordner eine Datei mit dem Namen Email.txt, die eine als "MIME Base64" (eine Art Mailformat) kodierte Version des Wurms ist. Jene will er später an weitere potentielle Opfer verschicken. Ebenso erstellt Shoho im selben Ordner eine Datei namens Emailinfo.txt, in welcher er die E-Mail-Adressen sammelt, die er auf dem infizierten Computer findet. Die Adressen fischt er aus Dateien mit den Endungen .eml, .wab, .dbx, .mbx, .xls, .xlt und .mdb. Jetzt verschickt er sich mit einem eigenen SMTP-Prozess (ein Dienst für den Mailversand) an die gesammelten Adressen.

Böser Schadens-Teil:

Nach dem PC-Neustart versucht der Wurm im Windows-Ordner zumindest einige, wenn nicht sogar alle Dateien zu löschen. Der Benutzer wäre also gezwungen, Windows neu zu installieren. Falls Sie sich den Schädling eingefangen haben, *verzichten* Sie unbedingt auf einen PC-Neustart, bis Sie die Wurm-Einträge aus der Windows Registry entfernt haben.

Beseitigung:

Löschen Sie die Mail, in welcher der Wurm bei Ihnen eintraf, sonst stecken Sie den PC gleich wieder an. Aktualisieren Sie Ihren Virenscanner, damit er den Shoho-Wurm erkennen kann. Scannen Sie Ihre Festplatte (alle Dateien) und lassen Sie die als infiziert gemeldeten Dateien entfernen. Sollte dies nicht möglich sein, z.B. weil das System die Dateien bereits in Benutzung hat, notieren Sie sich die genauen Dateinamen und die Ordner, in denen sie gefunden werden. Das könnten etwa solche Dateien sein:

email.txt

c:\WINDOWS\DRWATSON\FRAME.HTM (Achtung: Gemäss McAfees Beschreibung ersetzt der Wurm die gleichnamige Originaldatei, die auf fast jedem PC vorhanden ist)

c:\WINDOWS\email.txt

c:\WINDOWS\SYSTEM\WINL0G0N.EXE

c:\WINDOWS\WINL0G0N.EXE

Entfernen Sie die Dateien Email.txt und Emailinfo.txt, die im selben Ordner liegen wie der Wurm selber. Starten Sie den PC *keinesfalls* (!) neu, bis Sie die Wurm-Einträge aus der Registry entfernt haben:

Gehen Sie zu Startmenü/Ausführen, tippen Sie REGEDIT ein und drücken Sie die Enter-Taste, um den Registrierungs-Editor zu starten. Erstellen Sie via "Registrierung/Registrationsdatei exportieren" eine Sicherheitskopie Ihrer Registry und seien Sie sehr vorsichtig bei den nun folgenden Änderungen!

Gehen Sie im Registry-Editor zu diesem Schlüssel und klicken Sie ihn einmal an, damit er markiert ist:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

In der rechten Fensterhälfte klicken Sie mit Rechts auf diesen Wert und wählen im Kontextmenü den Punkt "Löschen":

WINL0G0N c:\windows\WINL0G0N.EXE

Tun Sie genau das selbe auch noch in diesen beiden Registry-Schlüsseln, sofern vorhanden:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run

Schliessen Sie nun den Registry-Editor wieder. Erst jetzt dürfen Sie Ihren PC neu starten. Scannen Sie Ihr System nach dem Neustart noch einmal komplett nach Viren. Sollten jetzt noch Exemplare gefunden werden, lassen Sie diese löschen, was jetzt kein Problem mehr sein sollte, da Windows diese nicht mehr im Gebrauch hat.

Wer sich nicht selber an die Windows-Registry heranwagen möchte, kann das Beseitigen der Einträge auch einem Hilfsprogramm von TrendMicro überlassen, das Sie in deren Virenbeschreibung finden (URL: siehe unten).

Von Shoho seien übrigens gemäss Sophos und Symantec verschiedene Varianten im Umlauf, die sich vom Text oder Beilagennamen her etwas von dieser Beschreibung unterscheiden könnten.