W32/Mytob (Wurmfamilie)

Langsam, ganz langsam verbreiten sich verschiedene Mytob-Varianten an ungeschützte Windows-PCs. Seit Februar 2005 sind zwar sehr viele verschiedene Varianten des Mytob-Wurms aufgetaucht, aber von jeder Variante nicht allzu viele Exemplare. Dies hat zur Folge, dass sich Antivirus-Hersteller bei keiner der bekannten Varianten genötigt sahen, von einem nennenswerten Wurm-Ausbruch zu sprechen oder gar via Pressemitteilungen Alarm zu schlagen.

Da die verschiedenen Varianten von Mytob so zahlreich sind, werden wir hier nicht jede beschreiben, sondern darauf eingehen, was ihnen gemeinsam ist. Die Würmer aus der Familie W32/Mytob werden als Nachfolger von W32/Mydoom betrachtet. Einige Antivirus-Hersteller zählen Mytob sogar direkt zur Mydoom-Familie und nennen sie auch so.

Die Mytob-Würmer kennen verschiedene Verbreitungswege:

Via LSASS-Sicherheitslücke:

Ähnlich wie schon der Sasser-Wurm versucht sich auch Mytob via TCP Port 445 über die LSASS-Sicherheitslücke auf andere PCs zu kopieren. Das schlägt jedoch bei jenen Windows-PCs fehl, die per Windows-Update auf dem neusten Stand gehalten wurden.

Via E-Mail:

Name und Mail-Adresse des Absenders der Mail ist normalerweise gefälscht, um die tatsächliche Herkunft zu verschleiern.

Es wurden verschiedene Betreff-Zeilen gesehen, wie zum Beisipel:

"Error"

"hello"

"hi"

"Mail Delivery System"

"Mail Transaction Failed"

"Server Report"

"Status"

"test"

Auch der Mail-Text wird zufällig gewählt. Häufig steht einer von diesen Texten drin:

"The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment."

"The message contains Unicode characters and has been sent as a binary attachment."

"Mail transaction failed. Partial message is available."

Oder ganz kurz: "test"

Die Mail-Beilage, die den Wurm enthält, ist eine ausführbare Datei mit einer Endung wie .bat, .cmd, .exe, .pif oder .scr, manchmal in eine Zip-Datei gepackt. Ein paar Beispiele für typische von Mytob verwendete Dateinamen:

body.scr

data.txt.exe

doc.bat

document.zip

file.scr

hello.cmd

message.zip

readme.zip

test.htm.pif

text.pif

Wenn eine doppelte Dateiendung verwendet wird, setzt der Wurm gerne eine ganze Reihe von Leerzeichen zwischen die vorgebliche und die echte Endung. So glaubt der Benutzer auf den ersten Blick eine Datei namens "data.txt" vor sich zu haben, obwohl die Datei in Wahrheit so heisst:

"data.txt (sehr viele Leerzeichen) .exe"

Infektion des Systems:

Wichtig ist bei diesem Kapitel, dass die vom Wurm erstellten Dateien und Registry-Einträge je nach Mytob-Variante unterschedliche Namen tragen können. In einigen Varianten heisst die im Systemordner abgelegte Datei "msnmsgr.exe"; so werden natürlich auch die Einträge in der Registry anders lauten, z.B. "MSN" mit dem Wert "msnmsgr.exe". Die Einträge finden aber in den gleichen Registry-Zweigen statt.

Wenn also der unvorsichtige Benutzer die Beilage öffnet und somit ausführt, installiert sich der Wurm wie folgt:

Er kopiert sich beispielsweise mit dem Dateinamen "wfdmgr.exe" in den Windows-Systemordner. Dieser heisst je nach Windows-Version etwas anders:

Windows XP: C:\Windows\System32\

Windows 95/98/Me: C:\Windows\System\

Windows NT/2000: C:\Winnt\System32\

Diese dort abgelegte Datei trägt er auch in der Windows-Registry ein, damit sie bei jedem PC-Start geladen wird. Die Einträge liegen in den gleichen Registry-Schlüsseln wie bei vielen anderen Würmern auch. In unserem Beispiel so:

In einigen oder allen dieser fünf Registry-Zweige erstellt er einen Eintrag namens "LSA" mit dem Wert "wfdmgr.exe":

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa

HKEY_CURRENT_USER\Software\Microsoft\OLE

Schäden:

Der Mytob-Wurm nutzt eine vom Sdbot-Trojaner stammende Funktion, die einen bestimmten IRC-Server (Internet Relay Chat) kontaktiert. Dort verbindet er sich mit einem speziellen Chat-Kanal und wartet auf weitere Anweisungen. Damit kann ein Angreifer, der das Kanal-Passwort kennt, vieles anrichten: Unter Anderem kann er dem wartenden Wurm befehlen, jedes beliebige weitere Programm herunter zu laden und auszuführen.

Immer mehr Virenschreiber verfolgen ganz offensichtlich kommerzielle Interessen. So wird der Angreifer sein durch Mytob infiziertes Opfer am ehesten mit Keyloggern oder Spam-Proxies ausstatten, um entweder an seine Bankdaten zu kommen oder um dessen PC zum Verbreiten von Spam zu missbrauchen - oder beides.

Weiterverbreitung:

Hat der Wurm einen PC infiziert, verbreitet er sich von dort aus weiter. Die Adressen, an die sich der Wurm mailt, hat er auf dem infizierten PC in verschiedensten Dateien gefunden, wie z.B. in Adressbüchern von Outlook und Outlook Express sowie in diversen Text- und Internet-Dateien. Er probiert auch spontan weitere Adressen durch, so nach dem Muster "EinHäufigerVorname@IrgendEineDomain.inv".

Beseitigung:

Da jede Mytob-Infektion auch die Installation weiterer schädlicher Programme ermöglicht, sollten Benutzer dafür sorgen, den PC von vorneherein virenfrei zu halten. Halten Sie den Windows-PC durch regelmässige Windows-Updates fit und trauen Sie keiner Mailbeilage.

Informationen (in Englisch) finden Sie auch z.B. bei F-Secure [1], Kaspersky [2], McAfee [3] und Symantec [4]. Symantec stellt zusätzlich ein spezielles Beseitigungs-Werkzeug bereit [5], das mit einigen Mytob-Varianten fertig wird.