W32/Cissi.A (alias Cissy)

Die erste Variante des Cissi-Wurms wurde bereits im Dezember 2003 entdeckt. Der Wurm verbreitet sich sowohl über automatisch verschickte Mails als auch übers Netzwerk. Laut den Beschreibungen der Antivirushersteller weist der Wurm in seinem Programmcode mehrere Fehler auf. Diese bewirken, dass vieles, was der Wurm zu seiner Verbreitung oder Installation unternimmt, unter bestimmten Bedingungen fehlschlägt. Zudem führen diese Programmier-Bugs auch gelegentlich zu Systemabstürzen oder zu einer Verlangsamung des infizierten PCs.

Die Mails, mit denen sich W32/Cissi.A verbreitet, können verschiedene - meist englische - Betreffzeilen haben. Der eigentliche Wurm steckt jeweils in einer Beilage mit der Endung .PIF. Diese Endung wird von Windows normalerweise nicht angezeigt.

Bei der Verbreitung via Netzwerk sucht der Wurm unter zufällig gewählten IP-Adressen nach anderen Windows-Computern und versucht sich dort mit den Benutzernamen "Guest", "Administrator", "Owner" oder "Root" anzumelden. Dabei probiert er verschiedene, von vielen Benutzern verwendete Passwörter durch. Wenn er sich anmelden konnte, kopiert er eine Kopie von sich aufs dortige System und versucht diese mit Hilfe eines geplanten Tasks zu starten. Zusätzlich versucht sich der Cissy-Wurm auch auf Netzlaufwerke zu kopieren, mit denen sich der infizierte Computer verbunden hat.

Wenn die Wurm-Datei auf einem Windows-Computer gestartet wird, installiert sich der Schädling wie folgt:

Er kopiert sich mit dem Dateinamen Cissi.exe in den Windows-Systemordner. Je nach Windows-Version heisst dieser etwas anders:

Windows 9x/ME: C:\Windows\System\

Windows 2000: C:\Winnt\System32\

Windows XP: C:\Windows\System32\

Wenn es sich beim befallenen Betriebssystem um Windows 95/98 oder ME handelt, nimmt er in der Datei SYSTEM.INI folgende Änderung vor:

Im Abschnitt "[boot]" in der Zeile "shell=explorer.exe" fügt er einen Eintrag wie "C:\(Windows-Systemordner)\cissi.exe" hinzu. Dieser sorgt in den genannten Windowsversionen dafür, dass der Wurm bei jedem Systemstart geladen wird.

Wenn auf dem System hingegen Windows NT, 2000, XP oder 2003 läuft, ändert der Wurm diesen Registry-Eintrag, was den gleichen Effekt hat. Im Registry-Zweig:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

ändert er den Wert des Eintrags "Shell" von ehemals "Explorer.exe" zu "Explorer.exe %WinSys%\CISSI.exe".

Der Wurm versucht auch in den folgenden Ordnern eine Kopie von sich abzulegen, was normalerweise ebenfalls dazu führt, dass der Wurm beim PC-Start geladen wird. Aufgrund der eingangs beschriebenen Programmier-Fehler scheint ihm dies jedoch nicht zu gelingen:

C:\Documents and Settings\All Users\Start Menu\Programs\Startup

C:\WINDOWS\Start Menu\Programs\Startup

C:\WINNT\Profiles\All Users\Start Menu\Programs\Startup

Nach der Installation im System gehts an die Verbreitung via Netzwerk und E-Mail. Dafür durchsucht Cissi verschiedene Textdateien (Office- und Internet-Dateien usw.) nach E-Mail-Adressen. Die gefundenen Adressen speichert er in eine Datei namens "CISSI.dll", die er ebenfalls im Windows-Systemordner erstellt. An diese Adressen verbreitet sich der Wurm nun, indem er eine eigene SMTP-Engine (Mailversand-Tool) verwendet.

Der Wurm W32/Cissi.A öffnet einen IRC-Kanal (Internet Relay Chat) auf dem Server irc.undernet.org. Der Wurm verwendet einen zufällig generierten Nicknamen und versucht sich dorthin auf Port Nummer 6667 zu verbinden. Nun kann er vom Server Befehle entgegennehmen.

Um den Wurm zu entfernen, gehen Sie so vor:

Wenn Sie Windows ME oder XP haben, müssen Sie die Systemwiederherstellungs-Funktion deaktivieren, sonst wird diese den Wurm beim nächsten Neustart wieder zurückholen. Wie dies geht, steht im Kummerkasten-Artikel mit Webcode 26316 [1].

Aktualisieren Sie die Virendefinitionen Ihres Virenscanners. Da der Wurm inzwischen schon ziemlich alt ist, sollten ihn eigentlich alle Virenscanner problemlos erkennen. Sollten Sie keine aktuelle Version eines guten Virenscanners installiert haben, können Sie es mit einem der Online-Scanner versuchen, die in der rechten Spalte der PCtipp-Virenticker-Seite [2] verlinkt sind.

Führen Sie einen kompletten Scan Ihres Systems durch und lassen Sie alle Dateien löschen, die als infiziert gemeldet werden. Unter Windows 95/98/Me müssen Sie den Eintrag, den der Wurm in der Datei SYSTEM.INI gemacht hat, rückgängig machen. Die Datei SYSTEM.INI lässt sich einfach im Editor öffnen. Entfernen Sie in der Zeile "shell=explorer.exe" einfach alles, was rechts von "Explorer.exe" steht.

Als Benutzer von Windows NT/2000/XP/2003 öffnen Sie via "Start/Ausführen" und Eintippen von REGEDIT den Registry Editor. Seien Sie bitte jetzt vorsichtig, sonst könnten Sie sich mit einer Fehlmanipulation Ihr System zerschiessen. Navigieren Sie sich durch Klicks auf die Pluszeichen zu diesem Registry-Zweig vor und klicken Sie ihn an, damit er markiert ist:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

In der rechten Fensterhälfte des Registry-Editors sehen Sie unter Anderem einen Eintrag namens "Shell". Doppelklicken Sie diesen und ändern Sie den Eintrag so, dass da nur noch "Explorer.exe" drinsteht. Bestätigen Sie dies mit OK und schliessen Sie den Registry-Editor. Starten Sie den PC neu.

Wichtig: Obiges Vorgehen entfernt nur den Wurm namens W32/Cissi.A. Es behebt aber nicht die Schäden, die ein Angreifer dem System möglicherweise schon zugefügt hat. Bei Schädlingen mit Backdoor-Eigenschaften empfiehlt es sich generell, die Festplatte zu formatieren und das System ganz frisch (mit neuen Kennwörtern) aufzusetzen.

Beschreibungen des Wurms und Hinweise zur Beseitigung fanden wir unter Anderem bei Symantec [3] und McAfee [4].