W32/Swen.A (alias W32/Gibe.F)

Vom im Frühling und Sommer 2003 weit herum gekommenen Wurm W32/Gibe [1] ist eine neue, sich schnell verbreitende Variante aufgetaucht. Der Wurm ist nachweislich schon nach kürzester Zeit auch in vielen Schweizer Mail-Konten angekommen.

Die meisten Antivirus-Labors, wie z.B. Kaspersky [2] und F-Secure [3] haben dem Wurm einen neuen Namen (I-Worm.Swen bzw. Swen) verpasst, da nur Teile des Programmcodes mit jenem von Gibe übereinstimmen, und der Wurm in einer anderen Programmiersprache geschrieben wurde.

Der Schädling namens W32/Swen.A bedient sich verschiedener Verbreitungswege:

Via E-Mail:

Er verschickt sich in E-Mails mit unterschiedlichen Betreffzeilen und gefälschtem Absender. Diese Mails sind im HTML-Format verfasst und sehen alle einer echten Microsoft-Security-Mail täuschend ähnlich (Screenshots siehe z.B. bei F-Secure).

Wichtig #1: Der Schädling nutzt die IFRAME-Sicherheitslücke aus, die in veralteten Version von Outlook und Outlook Express bewirkt, dass sich die Wurm-Beilage automatisch startet, wenn der Benutzer die Mail nur schon liest. Seit dem Service-Pack 2 für den Internet Explorer 5.01 und 5.5 ist diese Sicherheitslückte gestopft (also schon sehr lange). Es empfiehlt sich also, mindestens den IE 5.5 SP2 [4] zu installieren und anschliessend am besten nochmals ein Windows-Update zu fahren.

Wichtig #2: Microsoft verschickt NIEMALS Sicherheits-Updates via E-Mail! Leider hindert das Stopfen der Sicherheitslücke den Benutzer meist nicht daran, eine Mailbeilage manuell auszuführen. Misstrauen Sie also jeder Mailbeilage, egal wie vertrauenserweckend der Mail-Text daherkommt.

Um sich per Mail weiter zu verbreiten, durchsucht der Schädling diverse Adressbuch- und HTM-Dateien sowie lokal gespeicherte Mails, die er auf dem PC findet, und schickt sich an alle Mail-Adressen, die er darin findet. Falls er für seinen Versand keinen gültigen SMTP-Server findet, zeigt er eine Art Formular an und fordert den verdutzten Benutzer auf, die fehlenden Informationen noch einzugeben, wie z.B. Name, Mail-Adresse, Servernamen, Mail-Benutzernamen und -Passwort.

Via KaZaA Tauschbörse:

Ist auf dem infizierten PC das Datei-Tauschbörsenprogramm KaZaA installiert, kopiert sich "Swen" unter verschiedenen Namen in den ins KaZaA-Netz freigegebenen Ordner. Dort wartet er drauf, bis andere User ihn vom infizierten PC herunterladen und ausführen.

Via IRC-Kanäle (Internet Relay Chat):

Findet der Wurm auf dem infizierten PC eine mIRC-Installation, ändert er dessen Script-Datei (script.ini). Besucht der User damit einen IRC-Channel versucht sich der Wurm mit dem Dateinamen "WinZip installer.zip" an alle anderen Besucher desselben Kanals zu verschicken.

Via lokales Netzwerk:

Swen durchsucht das lokale Netzwerk nach freigegebenen Systemlaufwerken. Er kopiert sich in die Autostart-Ordner von Windows 95, 98 oder ME, damit diese PCs nach dem nächsten Neustart ebenfalls angesteckt werden.

Via Usenet Newsgroups:

Gemäss der Beschreibung von Symantec [5] versuche sich der garstige Wurm auch an Usenet Newsgroups zu schicken. Allerdings haben wir selber bisher keine Exemplare im Usenet angetroffen. Vielmehr grast Swen verschiedene Newsserver nach E-Mail-Adressen ab, an die er sich danach mehrmals verschickt. So haben momentan hauptsächlich Benutzer, die selber viele Artikel im Usenet veröffentlichen, mit ständig durch Swen-Exemplaren gefüllten Mailboxen zu kämpfen.

Symptome:

Wird der Wurm ausgeführt, zeigt er Dialogboxen an, die den Benutzer in die Irre führen sollen. Diese tun so, als würde gerade ein Microsoft-Sicherheitsupdate installiert.

Von "Swen" bzw. Gibe.F verursachte Schäden:

Der Wurm greift Programme und Programm-Prozesse an, die zu Antivirus- oder Firewall-Software gehören könnten. Etliche Registry-Einträge werden verändert, sodass der Schädling nur schwer wieder entfernt werden kann.

Vom Wurm erstellte Dateien und Einträge:

Der Schädling erstellt im Windows-Ordner eine ausführbare Datei mit Endung EXE und einem zufällig gewählten Namen. Diese Datei trägt er wie folgt in diesen Registry-Schlüssel ein:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"'Name der Datei'" = "'Name der Datei'.exe /autorun"

Swen erstellt gemäss F-Secure während seiner Installationn eine Batch-Datei mit dem Namen des infizierten PCs und folgendem Inhalt:

@ECHO OFF

IF NOT "%1"=="" 'Name der Wurmdatei'.exe %1

Zudem schreibt er eine Liste von SMTP- und NNTP-Servern (Postausgangs- und Usenet-Servern) in eine neue Datei namens SWEN1.DAT im Windows-Ordner.

Um zu verhindern, dass er durch ein Editieren der Registry entfernt werden kann, ändert er mehrere Registry-Einträge. Diese Einträge bewirken, dass der Schädling aktiv wird, sobald eine Datei mit einer Endung wie BAT, SCR, EXE, REG oder PIF gestartet wird. Die Änderungen finden in diesen Registry-Schlüsseln statt:

HKEY_CURRENT_USER\exefile\shell\open\command

HKEY_CURRENT_USER\regfile\shell\open\command

HKEY_CURRENT_USER\scrfile\shell\open\command

HKEY_CURRENT_USER\piffile\shell\open\command

HKEY_CURRENT_USER\batfile\shell\open\command

Nicht zuletzt greift er zu einem weiteren miesen Trick. Swen deaktiviert in der Registry selber das Ausführen von Registry-Werkzeugen. Dies tut er in diesem Registry-Zweig:

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System

Mit dem veränderten Eintrag: "DisableRegistryTools" = dword:00000001

Versucht der User, den Registry-Editor zu starten oder eine REG-Datei zur Entfernung der Einträge einzuspielen, zeigt der Wurm eine Fehlermeldung an.

In diesem Registry-Zweig erzeugt Swen noch einige Unterschlüssel, die Informationen über den vom Benutzer verwendeten Postausgangs-Server (SMTP) enthalten, die Mailadresse des Benutzers, der Name einer Wurmdatei, den Computernamen, den Namen einer Zip-Datei, die der Wurm zu erstellen versucht, den Namen des IRC-Ordners und einiges mehr:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

Beseitigung:

Wie bereits erwähnt, gestaltet sich die Beseitigung des Wurms äusserst schwierig, da Swen versucht, den Benutzer am Ausführen von Virenscannern oder des Registry-Editors zu hindern. Bei NAI (McAfee) [6] finden Sie zum Beispiel eine Datei namens UNDO.REG, die theoretisch einige der geänderten Registry-Einträge wieder zurücksetzen sollte, um danach die Registry manuell zu säubern.

Am Abend des 18. Septembers 2003 hatten alle hier erwähnten Antivirus-Hersteller bereits Updates, die den Wurm erkennen und stoppen sollten, bevor er sich überhaupt erst installieren kann. Der Sicherheitssoftware-Hersteller Computer Associates bietet in seiner Wurm-Beschreibung [7] ein Beseitigungsprogramm an.

Update vom 01. Oktober 2003:

Auch wenn die Swen-Welle derzeit geringfügig am Abklingen ist, sollten Sie alle möglichen Vorkehrungen treffen, damit sich der Wurm von Ihrem Computer fernhält. In der Zwischenzeit hat praktisch jeder Antivirus-Hersteller ein kostenloses Beseitigungsprogramm bereitgestellt, damit Sie den Schädling aus Ihrem System entfernen können.

Auch wenn Sie nicht annehmen, dass Ihr System infiziert ist, sollten Sie es vorsichtshalber trotzdem einer Prüfung unterziehen. In der rechten Spalte unserer Virenticker-Startheite [8] finden Sie Links zu einigen kostenlosen Online-Scannern. Damit finden Sie schnell heraus, ob auch Ihr PC ohne Ihr Wissen den Swen-Wurm verbreitet.