W32.Maldal (Zacker, Reeezak)

Von den Würmern aus der noch jungen Maldal-Familie sind schon einige Varianten aufgetaucht. Wir gehen hier auf die bisher wichtigsten zwei Grundvarianten dieses zerstörerischen Mailwurms ein, nämlich C und D.

Variante W32.Maldal.C

Die erste beschriebene Variante von "Maldal.C" ist bei verschiedenen Antivirus-Herstellern auch unter dem Namen "Zacker", "Reeezak" oder "Keyluc" bekannt. In dessen Schlepptau befindet sich auch der Dismissed-Wurm [1]. Einige Virenbeschreibungen betrachten "Dismissed" als Bestandteil des Maldal-Wurms.

Die E-Mail, in welcher Maldal.C eintrifft, sieht so aus:

Betreff: Happy New Year

Mail-Text:

"Hii , I can't describe my feelings

But all I can say

is Happy new year :-)

bye"

Name der Beilage: Christmas.exe

Wird die Beilage durch den Benutzer gestartet, wird zuerst das Cartoon eines Ski fahrenden Nikolaus angezeigt (Screenshots siehe z.B. in der Kaspersky-Beschreibung). Anschliessend kopiert sich der Wurm unter dem Dateinamen Christmas.exe in den Windows-Ordner und trägt diese Datei für den zukünftigen automatischen Start in diesen Registry-Schlüssel ein:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Zacker

Für die Weiterverbreitung sammelt "Maldal.C" E-Mail-Adressen aus dem Outlook-Adressbuch und aus der Kontaktliste des MSN Messenger. An die gesammelten Adressen verschickt sich der Wurm mit den oben erwähnten Merkmalen weiter.

Schadens-Teil: Nach dem Start des Wurms deaktiviert dieser den Tastatur-Zugriff und versucht alle Dateien im Windows System-Ordner zu löschen. Der Name des Computers wird in "ZaCker" geändert und die Startseite auf eine infizierte Webseite mit politischem Text mit Bezug auf die Nahostkrise geändert. Die Webseite versucht den eingangs erwähnten Dismissed-Wurm auszuführen.

Beschreibungen von Maldal.C, teilweise mit Screenshots, finden Sie zum Beispiel in diesen Virenbibliotheken:

[2] Computer Associates (CAI)

[3] F-Secure

[4] Ikarus (deutsch)

[5] Kaspersky (Screenshots)

[6] Network Associates (McAfee)

[7] Norman

[8] Panda (Beseitigungs-Werkzeug dieser Maldal-Variante)

[9] Symantec (Norton)

Variante: W32.Maldal.D

Diese Variante kommt zumindest "optisch" völlig anders daher als die C-Variante. Die Mail sieht etwa so aus:

Betreff: ((Name des infizierten Computers))

Der Mail-Text besteht aus einer dieser Zeilen:

"Test this game body"

oder "I wish u like it"

oder "I have got this file for you"

oder "Surprise !!! "

oder "download this game & have fun ;)"

oder "desktop maker ,you may need it ;)"

oder "have you ever got a gift !?"

oder "What women wants !"

oder "Don't waste any time ,Subscribe now"

oder "Make your pc funny !"

oder "new program from my fun groups"

oder "Map of the world"

oder "Create your Ecard ( looooooooooooooooool"

oder "Send it to everybody you love"

oder "Its made by me ;)"

oder "Our symbol"

oder "If y oder ou have an elegant taste"

oder "Test your mind"

oder "1 + 1 = 3 !!!"

oder "See this file"

oder "Singer , searsh for any song and sing ;)"

oder "For everybody wants to marry a woman that he doesn't love !"

oder "nowadays , there is no womanhood !! :P"

oder "Just Try to fix it"

oder "Keep these advertisements run and earn 0.25 $ per 10 minute ;)"

Die Wurm-Beilage ist eine EXE-Datei, die den Computernamen des Absenders trägt, z.B. "oemcomputer.exe".

Bemerkung: Der Wurm ändert zwar den Computernamen des infizierten PCs auf "ZaCker", aber sowohl Betreff als auch Dateiname der versandten Mails entsprechen meist dem Computernamen, den der PC ursprünglich (also vor der Infektion) trug.

Wird die schädliche Mail-Beilage durch den Benutzer gestartet, wird eine Pseudo-Fehlermeldung angezeigt mit dem Titel "Project1", dem Text "Run time error '71': Object required" und einer OK-Schaltfläche. Nun kopiert sich Maldal.D unter dem Dateinamen "WIN.EXE" in den Windows System-Ordner und erzeugt einen Registry-Schlüssel, in den er diese Datei für den automatischen Start einträgt:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run\System

Wie erwähnt, wird der Computername in "ZaCker" geändert, was über diesen Registry-Schlüssel geschieht:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ComputerName\

ComputerName\ComputerName=ZaCker

Dann löscht Maldal.D alle Dateien in diesen Ordnern, die normalerweise von Antivirus- oder anderen Sicherheits-Programmen benutzt werden:

eSafe\Protect\

Program Files\McAfeeVirusScan95\

PC-Cillin 95\

PC-Cillin 97\

Program Files\FindVirus\

Program Files\FWIN32\

Program Files\Norton AntiVirus\

Program Files\Quick Heal\

Program Files\Zone Labs

Program Files\AntiViral ToolkitPro\

Program Files\Command Software\F-PROT95\

Program Files\Zone Labs\

rescue\

TBAVW95\

Toolkit\FindVirus\

f-macro\

VS95\

Für die Weiterverbreitung per E-Mail sammelt diese Maldal-Variante Adressen aus dem Ordner "Temporary Internet Files" und aus dem Outlook Adressbuch.

Um den Schaden noch etwas grösser zu machen, vergreift sich Maldal.D auch an Dateien mit diesen Endungen, indem er sie löscht:

.bat

.com

.dat

.doc

.htm

.html

.ini

.jpg

.lnk

.mdb

.mpeg

.php

.ppt

.txt

.xls

.zip

War der Wurm bei dieser Tätigkeit erfolgreich, wird der PC einen Absturz erleiden und beim nächsten Start ein Fehlen der Datei WIN.COM beklagen. Spätestens dann wird’s Zeit für eine komplette Neuinstallation des Systems.

Wie immer ist Vorsicht die Mutter der Porzellankiste: Führen Sie keine EXE-Dateien aus, die Sie unaufgefordert per Mail erhalten, auch wenn Sie diese für Weihnachtsgrüsse Ihres besten Freundes halten. Beschreibungen dieser Maldal.D-Variante finden Sie zum Beispiel bei Sophos [10] oder bei Symantec [11].