News 26.01.2004, 14:45 Uhr

W32/Dumaru.Y

Diese sich schnell verbreitende Variante des Dumaru-Wurms verwendet in den massenhaft verschickten Mails den Absendernamen «Elene». Wer in die Falle tappt, riskiert, dass auf dem PC gespeicherte Passwörter ausgelesen werden.
In der Nacht auf den 24. Januar 2004 wurde eine neue Variante des Dumaru-Wurms [1] entdeckt. Wie es die meisten Würmer tun, verschickt er automatisch E-Mails mit gefälschten Absenderinfos. Die Mails von Dumaru.Y haben diese Kennzeichen:
Absendername: Elena
Absenderadresse: FUCKENSUICIDE@HOTMAIL.COM
Betreff: Important information for you. Read it immediately !
Beilage: MYPHOTO.ZIP
Text: "Hi! Here is my photo, that you asked for yesterday."
In der Beilage MYPHOTO.ZIP steckt eine Datei, deren Name so gewählt wurde, dass so mancher unaufmerksame Benutzer reinfällt:
Myphoto.jpg (gefolgt von bis zu 56 Leerzeichen).exe.
Wird diese Datei gestartet, installiert sich der Wurm im System und verschickt sich danach an alle E-Mail-Adressen, die er unter anderem im Windows-Adressbuch, in den Maildatenbanken von Outlook Express und in gespeicherten HTM-Dateien findet.
Es sind übrigens diese Dateien, die Dumaru.Y ablegt, um sich zu installieren, je nach Windows-Version in leicht unterschiedlichen Ordnern:
Dateiname: RUNDLLX.SYS
Im Ordner C:\Windows\ oder C:\WINNT
Dateiname: L32X.EXE und
Dateiname: VXD32V.EXE
Im Ordner C:\Windows\System32\ oder C:\WINNT\System32\ oder C:\Windows\System\
Dateiname: DLLXW.EXE
Im Autostart-Ordner, der je nach Windows-Version und Art der Installation an einem anderen Ort liegt, z.B.
C:\Dokumente und Einstellungen\(Benutzer)\Startmenü\Programme\Autostart\
Der Wurm erstellt einige Einträge im System, um unter anderem zu gewährleisten, dass er bei jedem PC-Start ausgeführt und in den Arbeitsspeicher geladen wird:
In der Windows-Registry, in diesem Zweig:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Eintrag: "load32", der z.B. auf die Datei L32X.EXE verweist
Unter Windows NT oder 2000, ev. auch Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ändert er den Wert des Eintrags "Shell" von diesem Wert:
"explorer.exe" zu "explorer.exe %SysDir%\VXD32V.EXE"
In manchen Fällen erstellt er in der Registry auch diesen Eintrag, der offenbar keine besonderen Auswirkungen hat, da hier keine Datei aufgerufen wird:
HKEY_LOCAL_MACHINE\Software\SARS
Im Windows-Ordner existieren seit jeher ein paar Konfigurationsdateien mit Endung INI. Zwei davon verändert der Wurm ebenfalls, damit er noch ein zweites bzw. drittes Standbein fürs automatische Ausführen beim PC-Start hat:
WIN.INI
Wenn darin der Abschnitt [windows] nicht schon drinsteht, fügt er ihn mit diesem Eintrag hinzu:
[windows]
"run" = (Windows-Ordner)\RUNDLLX.SYS
SYSTEM.INI:
Im Abschnitt [boot] ergänzt er einen bestehenden Eintrag:
[boot]
Von: "shell" = Explorer.exe
Zu: "shell" = explorer.exe %SysDir%\VXD32V.EXE
Schäden:
Der Wurm Dumaru.Y öffnet eine Hintertür in der Internetverbindung, sodass ein Angreifer darauf zugreifen könnte. Ausserdem speichert er auch eingetippte Passwörter in eine Datei namens vxdload.log oder winload.log. Sobald genügend Kennwörter enthalten sind, mailt er diese Datei an eine im Programmcode festgelegte Adresse.
Beseitigung:
1. Wer Windows Me oder Windows XP hat, muss zuerst die Systemwiederherstellung ausschalten [2], sonst werden die zu löschenden Einträge beim nächsten PC-Start wiederhergestellt.
2. Ist dies erledigt oder haben Sie eine andere Windows-Version, aktualisieren Sie die Virendefinitionen Ihres Virenscanners.
3. Nun gehts je nach Windows-Version etwas anders:
Windows NT/2000/XP: Wurm-Prozesse beenden
Drücken Sie CTRL+ALT+DELETE, klicken Sie auf "Task-Manager" und wechseln Sie ins Register "Prozesse". Mit einem Doppelklick auf den Spaltentitel "Name" sortieren Sie die Prozessnamen alphabetisch. Halten Sie Ausschau nach Prozessen mit diesen Namen: dllxw.exe, l32x.exe, vxd32v.exe
Finden Sie einen davon, klicken Sie ihn an, klicken auf "Prozess beenden" und bestätigen allenfalls die Rückfrage von Windows. Schliessen Sie den Taskmanager durch einen Klick aufs X-Kreuzchen oben rechts.
Windows 95/98/Me: Starten im abgesicherten Modus
Fahren Sie den PC ganz herunter, schalten ihn aus und warten ca. 30 Sekunden. Schalten Sie ihn wieder ein.
Wer Windows 95 hat, wartet einen Moment, bis die BIOS-Meldungen vorbei sind und drückt dann sofort F8 (ev. mehrmals), wenn in weisser Schrift "Starten von Windows 95" erscheint.
Unter Windows 98 oder Me drücken und halten Sie kurz nach dem Einschalten die CTRL-Taste fest und warten Sie, bis das Boot-Menü erscheint. Wählen Sie den abgesicherten Modus.
4. Jetzt gilt wieder für alle Windows-Versionen:
Scannen Sie nun alle Festplattenlaufwerke des PCs nach Viren. Löschen Sie alle Dateien, die Ihnen Ihr Virenscanner als infiziert mit Dumaru.Y anzeigt.
5. Löschen Sie (mit der gebotenen Vorsicht!) die oben erwähnten Einträge, die der Wurm in der Windows Registry und in den INI-Dateien erstellt hat.
Informationen über diesen Wurm finden Sie auch (meist in Englisch) in den Virenbeschreibungen der Antivirushersteller, z.B. bei F-Secure [3], NAI (McAfee) [4], Panda [5] und Symantec [6].
Es ist zu vermuten, dass von diesem Wurm noch weitere Varianten auftauchen, die andere Mail-Texte und andere Dateinamen verwenden.



Kommentare
Es sind keine Kommentare vorhanden.