News 09.02.2004, 23:15 Uhr

W32/Doomjuice

Doomjuice stammt vermutlich vom selben Autor wie MyDoom, denn er dringt explizit in PCs ein, die sich eine MyDoom-Infektion zugezogen haben. Anders als MyDoom, verschickt Doomjuice keine Mails, sondern nutzt nur Internetverbindungen für seine Verbreitung.
Der Netzwerk-Wurm W32/Doomjuice wurde am 9. Februar 2004 entdeckt. Er verschickt keine Mails, sondern verbreitet sich direkt über eine vom MyDoom-Wurm [1] hinterlassene Hintertüre in Internet-Verbindungen.
Das Ganze geht so vonstatten:
Jeder PC, der bereits mit MyDoom-Wurm infiziert ist, weist in seiner Internetverbindung eine "Hintertür" auf. Es handelt sich dabei um den TCP Port 3127 [2], der eigens vom MyDoom-Wurm geöffnet wurde und an welchem der MyDoom-Wurm nach Anweisungen von aussen horcht.
Nun kommt der hier beschriebene Nachfolge-Wurm Doomjuice ins Spiel: Dieser klappert unzählige IP-Adressen [3] ab und prüft, ob er dort diesen offenen Port 3127 findet. Findet er einen solchen angreifbaren PC, übermittelt Doomjuice seinen Wurm-Code. Dort wartet schon MyDoom auf ihn, der den Code in Empfang nimmt, automatisch ausführt und somit den PC mit seinem Nachfolge-Wurm Doomjuice infiziert. Dann geht der Reigen von vorne los.
Bei der Infektion legt Doomjuice verschiedene Dateien ab und erstellt Einträge in der Windows-Registry:
Im Ordner: C:\WINNT\System32 (bei NT4.0/Win2000) oder C:\Windows\System32 (bei WinXP) oder C:\Windows\System (bei Win9x/ME) speichert er eine Kopie von sich mit dem Namen intrenat.exe (genau lesen: nicht verwechseln mit der Systemdatei internat.exe!)
Diese trägt er in der Windows-Registry ein, damit er bei jedem PC-Start geladen wird. Und zwar in diese beiden Zweige:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sowie
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Der Eintrag lautet jeweils:
"Gremlin" = "(Pfad zur Datei)\intrenat.exe"
Zusätzlich verteilt er eine Datei mit dem Namen sync-src-1.00.tbz auf der Festplatte bzw. den Festplatten des Systems, und zwar hier:
- im Windows-Ordner (z.B. C:\Windows\)
- im System-Ordner (z.B. C:\Windows\System32\)
- im Temp-Ordner (z.B. C:\Windows\Temp\)
- im Ordner mit dem Benutzerprofil (z.B. C:\Dokumente und Einstellungen\Benutzername\)
- im Hauptverzeichnis jedes lokalen Festplatten-Laufwerks (z.B. C:\, D:\ etc.)
- im Hauptverzeichnis jedes angebundenen Netzlaufwerks
Die abgelegte Datei ist übrigens ein mit bzip2 komprimiertes TAR-Archiv, welches den Quellcode des ursprünglichen MyDoom-Wurms enthält.
Schäden:
Wie schon der "Vorbereitungswurm" MyDoom.A, hat Doomjuice eine Denial-of-Service-Attacke im Sinn. Diesmal aber nicht gegen die SCO-Webseite (www.sco.com), sondern gegen die Webseite von Microsoft (www.microsoft.com). Das bedeutet im konkreten Fall, dass jeder mit Doomjuice infizierte PC die Microsoft-Webseite massiv mit sinnlosen Webseiten-Abrufen (so genannten "HTTP GET requests") bombardiert.
Beseitigung:
Hier gilt es zwei Schädlinge zu entfernen; zum einen den MyDoom-Wurm und zum Anderen seinen Nachfolger Doomjuice. In der unten verlinkten MyDoom-Beschreibung finden Sie Links zu Beseitigungs-Tools des Ursprungs-Wurms. Was den Wurm W32/Doomjuice betrifft, gehen Sie am besten so vor:
1. Aktualisieren Sie die Virendefinitionen Ihres Virenscanners.
2. Falls Sie Windows Me oder XP haben, schalten Sie die Systemwiederherstellung aus (siehe Kuka-Artikel [4]).
3. Starten Sie den PC im abgesicherten Modus (Win95/98/Me: F8 drücken beim Aufstarten) oder beenden Sie den Wurm-Prozess im Taskmanager (WinNT/2000/XP: Ctrl+Alt+Delete drücken, Taskmanager wählen, ins Register "Prozesse" wechseln, Prozess anklicken und "Prozess beenden")
4. Scannen Sie alle vorhandenen Laufwerke nach Viren und lassen Sie alle vorkommenden Doomjuice-Dateien (und allenfalls MyDoom-Dateien) entfernen.
5. Entfernen Sie die Wurm-Einträge in der Registry. Starten Sie hierfür den Registry-Editor (Start/Ausführen: regedit) und klicken Sie sich zu den oben angegebenen Registry-Zweigen durch. Löschen Sie darin die Einträge namens "Gremlin".
6. Starten Sie den PC neu.
Informationen (in Englisch) über den Wurm fanden wir unter Anderem bei den Antivirus-Herstellern F-Secure [5], Kaspersky [6], NAI (McAfee) [7], PandaSoftware [8], Sophos [9] und Symantec [10].
Ob der Doomjuice-Wurm besonders "erfolgreich" sein wird, stand zum Zeitpunkt der Veröffentlichung dieses Artikels noch nicht fest. Sollte er sich aber sehr stark ausbreiten können, ist zu erwarten, dass zumindest ein paar der genannten Antivirus-Hersteller ein spezielles Beseitigungs-Programm bereitstellen werden.



Kommentare
Es sind keine Kommentare vorhanden.