News 07.06.2002, 17:00 Uhr

W32.Benjamin.Worm (KaZaA-Wurm)

In das weltumspannende Netz der KaZaA-Tauschbörse hat sich ein Wurm eingeschlichen, der sich selbst als beliebtes Tauschobjekt tarnt.
KaZaA ist eine Tauschbörse, in welcher in der Regel raubkopierte Inhalte (Musikstücke, Filme, Programme) angeboten werden. In das weltumspannende Netz der KaZaA-Benutzer hat sich nun ein Wurm eingeschlichen, der sich selbst als beliebtes Tauschobjekt tarnt.
Wird die Wurmdatei ausgeführt, kopiert sich der Schädling unter dem Namen "Explorer.scr" in den System-Ordner von Windows, also z.B. in C:\Windows\System oder C:\Winnt\System32. Nun erstellt er in der Windows-Registry Einträge, die das System veranlassen, den Wurm bei jedem Windows-Start mitzuladen. Diese Einträge sind hier zu finden:
In diesem Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
fügt er diesen Unterschlüssel ein:
syscod = "(eine vom Wurm kreierte Zeichenfolge)"
In diesem Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
trägt er die vorhin abgelegte Datei mit diesem Wert ein:
System-Service = "%SysDir%\EXPLORER.SCR"
Wobei statt %SysDir% der Pfad zur abgelegten Datei steht, zum Beispiel C:\Windows\System\ oder C:\Winnt\System32\
Im temporären Ordner von Windows (z.B. C:\Windows\Temp\) erstellt der Wurm einen Unterordner namens "Sys32". Nun ändert er die Einstellungen der installierten KaZaA-Software, sodass statt des vom Benutzer ursprünglich freigegebenen Ordners dieser neue Ordner ins Netz freigegeben wird. Diesen Ordner füllt der Benjamin-Wurm anschliessend mit Kopien von sich selber. Er füllt die Dateien etwas auf, dass sie unterschiedliche Dateigrössen erreichen und versieht diese Kopien mit Dateinamen, die andere KaZaA-Benutzer zum Herunterladen verleiten sollen, zum Beispiel die folgenden, um nur ein paar zu nennen:
A.I-Artificial Intelligence- Filme -full-downloader
ABeautifulMind
Adobe Photoshop 6.0 -full-downloader
American Pie 2 -divx-full-downloader
Jetzt braucht der Wurm bloss noch auf die neugierigen anderen KaZaA-Benutzer zu warten, die sich den Schädling herunterladen und ihn dann ebenfalls ausführen.
Beseitigung:
Sie müssen zuerst die Registry-Einträge des Wurms entfernen und das System neu starten, bevor Sie die infizierten Dateien löschen können.
Dies geht so: Starten Sie via "Startmenü/Ausführen" und Eintippen von REGEDIT den Registry-Editor. Vergessen Sie nicht, dass eine Fehlmanipulation in der Windows-Registry schwerwiegende Folgen für Ihr System haben kann. Sichern Sie die Registry deshalb vorher via "Registrierung/Registrierungsdatei exportieren". Gehen Sie zu diesem Schlüssel und klicken Sie ihn an:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
In der rechten Hälfte des Registry-Editors sollten Sie nun den "syscod"-Eintrag sehen. Klicken Sie ihn mit Rechts an und wählen im Kontextmenü den Befehl "Löschen".
Jetzt navigieren Sie zu diesem Schlüssel und klicken ihn an, damit Sie in der rechten Fensterhälfte dessen Einträge sehen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
In der rechten Fensterhälfte halten Sie nach einem Eintrag wie diesem Ausschau, klicken Sie ihn mit Rechts an und wählen "Löschen":
System-Service = "C:\Windows\System\EXPLORER.SCR"
(Statt \Windows\System\ könnte auch \Winnt\System32 oder ähnlich stehen)
Nachdem Sie diese Einträge gelöscht haben, starten Sie Ihren PC neu, scannen die Festplatte mit Ihrem frisch aktualisierten Virenscanner und löschen die als infiziert gemeldeten Dateien. Achten Sie darauf, dass die Datei Explorer.SCR ebenfalls gelöscht wird. Entfernen Sie auch den Ordner "Sys32", den der Wurm im Windows-Temp-Ordner (z.B. C:\Winnt\Temp oder C:\Windows\Temp) angelegt hat. Möglicherweise kann der Virenscanner nicht alle Dateien im Ordner "Sys32" als Würmer erkennen, weil diese durch das Aufblasen der Dateigrösse bisweilen zu stark im Code verändert wurden.
Original-Beschreibungen der Antivirus-Hersteller finden Sie zum Beispiel bei F-Secure [1] oder bei Symantec [2].


Kommentare

Es sind keine Kommentare vorhanden.