News
07.11.2002, 05:30 Uhr
FriendGreeting, Spamwurm
Die Spammer (Versender unerwünschter Werbemails) werden immer frecher. Inzwischen verbreiten sie ihren Müll bereits mit Virus-ähnlichen Techniken.
Vorausgeschickt: FriendGreet ist kein Virus oder Wurm. Aber das Programm verhält sich ähnlich und ist genauso lästig.
FriendGreet (auch FriendGreeting) genannt, ist die erste Erscheinungsform einer völlig neuen Art von Spam - auch bekannt als Massenversand unerwünschter Werbebotschaften. Weil die Verursacher der Mails Methoden benutzen, die auch schon bei Mail-Würmern und Viren benutzt wurden, gilt das Friendgreeting-Phänomen bei einigen Antivirus-Herstellern als unerwünschtes Programm.
Und so läuft das Ganze ab:
Ein Benutzer erhält eine Mail mit diesen Eigenschaften:
Betreff: (Ihr Name) you have an E-Card from (Absendername).
Der Mail-Text ist wie unten angegeben gestaltet; Anfang und Ende des zitierten Mailtextes haben wir der Übersicht halber mit "### Anfang ###" und "### Ende ###" gekennzeichnet.
### Anfang ###
Greetings!
(Absendername) has sent you an E-Card -- a virtual postcard from FriendGreetings.com. You can pickup your E-Card at the FriendGreetings.com by clicking on the link below.
(Eine Webseite bei www.friendgreetings.com)
Message:
------------------------------------------------------------
(Ihr Name)
I sent you a greeting card. Please pick it up.
(Absendername)
------------------------------------------------------------
### Ende ###
Ein Teil des Textes (in Grossbuchstaben) lautet explizit:
"IF YOU DO NOT WANT US TO ACCESS YOUR CONTACT LIST AND SEND AN E-MAIL MESSAGE TO PERSONS ON THAT LIST, DO NOT DOWNLOAD, INSTALL ACCESS OR USE FRIENDGREETINGS."
Und genau dies tut das Programm nach der Installation: Es verschickt eine Mail mit den oben erwähnten Eigenschaften an alle Einträge des Outlook-Adressbuchs. Weil dieses Wurm-ähnliche Spamprogramm den Benutzer vorher über seine Absicht informiert, gilt das Massenmail-Programm nicht als Wurm oder Trojaner. Und weil es ausser dem Mail-Versand keinen Schaden anrichtet und keine Dateien infiziert, gilt es auch nicht als Virus. Die Betreiber von Friendgreetings.com setzen auf die Tatsache, dass kaum ein Benutzer die Nutzungsbedingungen (License Agreement) liest oder versteht.
Die Antivirus-Hersteller haben Friendgreet trotzdem in ihre Beschreibungs- und Virenerkennungs-Datenbanken aufgenommen, weil erfahrungsgemäss zu viele Benutzer unbesehen auf jeden OK-Knopf klicken.
Wie etwa Symantec [1] schreibt, legt das Friendgreet-Programm diese Registry-Schlüssel an:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{7011471D-3F74-498E-88E1-C0491200312D}
HKEY_LOCAL_MACHINE\Software\CLASSES\IEEvtCatcher.IEEvtCatcherObj.1
HKEY_LOCAL_MACHINE\Software\CLASSES\IEEvtCatcher.IEEvtCatcherObj
HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\{3972ADCE-8737-45DE-A6E2-A253348E5A1E}
HKEY_LOCAL_MACHINE\Software\CLASSES\Interface\{059D8C85-A00F-40AF-8078-7692A0A79F19}
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{7011471D-3F74-498E-88E1-C0491200312D}
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{7677C920-9CC3-4621-AF8C-AD45402DC2FD}
Zusätzlich fügt es in diesem Windows Registry Schlüssel...
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\WinSrv Reg
...diese Einträge hinzu:
DisplayName WinSrv Reg
UninstallString C:\Program Files\Common Files\Media\UNINSTAL.EXE C:\Program Files\Common Files\Media\INSTALL.LOG WinSrv Reg Uninstall
(Statt C:\Program Files\Common Files\ könnte der Eintrag auf deutschsprachigen Windows-Systemen auch C:\Programme\Gemeinsame Dateien heissen.)
Und in diesem Registry-Schlüssel...
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
...fügt Friendgreetings diesen Eintrag ein:
PMedia C:\Program Files\Common Files\Media\winsrvc.exe
oder PMedia C:\Programme\Gemeinsame Dateien\Media\winsrvc.exe
Nun werden folgende Dateien auf der Festplatte erstellt, die auf deutschsprachigen Windows-Versionen auch in C:\Programme\Gemeinsame Dateien\ liegen könnten:
C:\Program Files\Common Files\Media\Install.log
C:\Program Files\Common Files\Media\Otdock.dll
C:\Program Files\Common Files\Media\Otglove.dll
C:\Program Files\Common Files\Media\Otms.exe
C:\Program Files\Common Files\Media\Otupdate.exe
C:\Program Files\Common Files\Media\Uninstal.exe
C:\Program Files\Common Files\Media\Winsrvc.dat
C:\Program Files\Common Files\Media\Winsrvc.exe
Um das Friendgreet-Programm von Ihrem PC zu entfernen, öffnen Sie die Systemsteuerung (z.B. über "Start/Einstellungen/Systemsteuerung") und doppelklicken das "Software"-Symbol. Klicken Sie den Eintrag "WinSrv Reg" an und wählen Sie "Entfernen" bzw. "Hinzufügen/Entfernen".
Einige Antiviren-Hersteller haben das Friendgreet-Programm den Virendefinitionen hinzugefügt. Aktualisieren Sie Ihren Virenscanner und prüfen Sie damit Ihre Festplatte. Löschen Sie alle Dateien, die Ihr Virenscanner im Zusammenhang mit Friendgreet findet.
Leeren Sie anschliessend auch den Ordner "Temporary Internet Files", indem Sie den Internet Explorer starten, zu "Extras/Internetoptionen" gehen und im Bereich "Temporäre Internetdateien" auf "Dateien löschen" klicken. Prüfen Sie zusätzlich, ob die vom Friendgreet-Programm angelegten Dateien (oben erwähnt) gelöscht wurden. Falls dies nicht der Fall ist, löschen Sie diese manuell.
Informationen (in Englisch) über Friendgreet finden Sie zudem auch bei H+BEDV [2], Network Associates (McAfee) [3], Kaspersky [4], F-Secure [5] und Sophos [6].
Nachtrag (07.11.2002): Messagelabs, eine britische Firma, die sich auf Viren-Filter für Mailserver spezialisiert, fand heraus, dass die ursprüngliche Domain "friendgreetings.com" nicht mehr mit diesem Schema beworben wird. Stattdessen seien es jetzt ähnliche Mails, welche für die Domains Cool-Downloads.com and Cool-Downloads.net werben. Beide Domains sind auf dieselbe Firma registriert wie ursprünglich friendgreetings.com, nämlich Permissioned Media Inc.
Kommentare
Es sind keine Kommentare vorhanden.
