News 23.01.2006, 13:45 Uhr

W32/Nyxem (alias VB.bi, Blackmal)

Abgesehen von den oben erwähnten Namen wird der Wurm je nach Antivirus-Hersteller auch unter der Bezeichnung MyWife, Small, Tearec oder Worm_Grew geführt. Der Wurm ködert die Empfänger seiner Mails unter Anderem mit pornografischem Material.
Etliche Würmer - zu denen auch Nyxem gehört - kennen mehr als eine Verbreitungsmethode. Wir nennen diesen Schädling hier Nyxem, weil wir uns für einen Namen entscheiden müssen, und weil uns "Nyxem" aus der gebotenen Auswahl von sieben (!) komplett verschiedenen Bezeichnungen am besten gefällt.
Nyxem verbreitet sich in Mails, die er von infizierten PCs aus automatisch verschickt. Der Mail-Absender ist gefälscht. Die Betreffzeile in seinen Mails wählt er nach dem Zufallsprinzip aus folgenden aus, wobei diese Auflistung womöglich nicht komplett ist:
"*Hot Movie*"
"A Great Video"
"Arab sex DSC-00465.jpg"
"eBook.pdf"
"Fuckin Kama Sutra pics"
"Fw: DSC-00465.jpg"
"Fw: Funny :)"
"Fw: Picturs"
"Fw: Real show"
"Fw: SeX.mpg"
"Fw: Sexy"
"Fw:"
"Fw:"
"Fwd: Crazy illegal Sex!"
"Fwd: image.jpg"
"Fwd: Photo"
"give me a kiss"
"Miss Lebanon 2006"
"My photos"
"Part 1 of 6 Video clipe"
"Photos"
"Re: Sex Video"
"Re:"
"School girl fantasies gone bad"
"The Best Videoclip Ever"
"the file"
"Word file"
"You Must View This Videoclip!"
Im Mailtext selber verspricht Nyxem einigen Empfängern, in der Beilage pornografisches Material zu finden. Dies tut er mit einer der folgenden Zeilen:
"----- forwarded message -----"
">> forwarded message"
"bye"
"forwarded message attached."
"Fuckin Kama Sutra pics"
"hello,"
"hi"
"Hot XXX Yahoo Groups"
"how are you?"
"i attached the details. Thank you."
"i attached the details."
"i just any one see my photos. It's Free :)"
"i just any one see my photos."
"i send the details."
"i send the file."
"Note: forwarded message attached."
"OK ?"
"Please see the file."
"ready to be FUCKED ;)"
"The Best Videoclip Ever"
"VIDEOS! FREE! (US$ 0,00)"
"What?"
"You Must View This Videoclip!"
Diesen Mails liegt in der Regel die Wurmdatei bei, die laut F-Secure rund 95 Kilobytes gross ist. Handelt es sich um eine Datei mit der Endung .pif, wird Windows die Endung normalerweise nicht anzeigen. Pif-Dateien erkennt man manchmal daran, dass sie mit ihrem Pfeil-Icon wie harmlose Verknüpfungen aussehen. Der Name der infektiösen Beilage ist einer der folgenden - je nach Einstellungen entweder mit oder ohne sichtbare Endung:
007.pif
04.pif
3.92315089702606E02.UUE
677.pif
Attachments001.B64
document.pif
DSC-00465.Pif
DSC-00465.pIf
eBook.PIF
eBook.Uu
image04.pif
New_Document_file.pif
Original Message.B64
photo.pif
School.pif
SeX.mim
WinZip.BHX
Word_Document.hqx
Word_Document.uu
Wird die Datei durch einen unvorsichtigen Benutzer geöffnet, installiert sich der Wurm ins System. Hierfür legt er folgende Dateien auf der Festplatte ab:
Im Windows-Ordner (z.B. C:\Windows): rundll16.exe, winzip_tmp.exe
Im System-Ordner (z.B. C:\Windows\System32): scanregw.exe, Update.exe und Winzip.exe
Direkt in Hauptverzeichnis (C:\): winzip_tmp.exe
Im Temp-Ordner: word.zip (viele Leerzeichen).exe
Mit einem Registry-Eintrag stellt der Wurm sicher, dass er bei jedem PC-Start geladen wird. Den Eintrag nimmt er in diesem Registry-Zweig vor:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Der Eintrag heisst: "ScanRegistry" = "%System%\scanregw.exe"
Nyxem sucht sich neue Opfer, an die er sich automatisch versenden kann. Die Adressen hierfür sucht er sich aus verschiedenen Adressbuch-, Mail- und Textdateien auf dem infizierten PC zusammen. Die Mails tragen dann die eingangs erwähnten Kennzeichen.
Die zweite Verbreitungsmethode findet über Netzwerkfreigaben statt. Der Wurm durchsucht das Netzwerk nach erreichbaren PCs und versucht sich in dort freigegebene Ordner zu kopieren:
\Admin$\WINZIP_TMP.exe
\c$\WINZIP_TMP.exe
\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Schäden:
Wie es schon vorher viele andere Schädlinge getan haben, will auch Nyxem seiner Entdeckung entgehen, indem er Sicherheits-relevante Programme (z.B. Virenscanner) abzuschiessen versucht. Zusätzlich löscht er unzählige Dateien und Registry-Einträge solcher Sicherheitssoftware. Laut Informationen von McAfee manipuliert der Wurm zudem mehrere Einträge in der Windows-Registry, um die Sicherheitsstufe zu senken und den PC gegen Angriffe aller Art noch anfälliger zu machen.
Abhilfe:
Lassen Sie es nicht zu, dass der Wurm Ihr System infiziert. Öffnen Sie deshalb keine unbekannten oder unerwarteten Mailbeilagen.
Einige Antivirus-Hersteller (z.B. Symantec und Trend Micro) bieten ein Beseitigungs-Tool an. Andere (z.B. McAfee und Norman) schreiben, dass sich der Schädling inkl. aller Registry-Änderungen mit deren Virenscanner komplett entfernen lasse. Sie können es versuchen, aber wir halten beides in diesem Fall für eine eher unsichere Methode, denn es gibt keine hundertprozentige Sicherheit, dass das System wirklich in den ursprünglichen Zustand versetzt werden kann. Ist ein PC mit einem Schädling befallen, der so tief ins System eingreift, empfehlen wir nicht, ihn bloss zu "säubern". Stattdessen sollten Sie Ihr Betriebssystem nach einem Backup der persönlichen Daten komplett neu auf eine frisch formatierte Platte installieren.
Informationen:
Nicht nur Virenschreiber sind ziemlich phantasievoll. Diesmal haben sich auch die Antivirus-Hersteller gegenseitig übertroffen, denn sie haben sich mindestens sieben komplett verschiedene Namen für den gleichen Wurm ausgedacht: Bei Computer Associates heisst er Win32/Blackmal.F [1]. F-Secure nennt ihn VB.bi [2], McAfee hat ihn W32/MyWife.d@MM getauft [3], die Norweger von Norman nennen ihn W32/Small.KI@mm [4], Pandasoftware schreibt über Tearec.A [5], Sophos über W32/Nyxem-D [6], Symantec [7] verwendet einen ähnlichen Namen wie CAI, nämlich W32.Blackmal.E@mm und Trend Micro nennt den Wurm Worm_Grew.A [8].
UPDATE (23.01.2006):
Die erste, oben beschriebene Variante des Nyxem-Wurms hatte keine Schadensroutine, die direkten Einfluss auf persönliche Dokumente des Benutzers hätte. Dies hat sich leider mit der Nachfolger-Variante (Nyxem.E) geändert. Dieser neue Nyxem-Wurm [9] löscht bzw. zerstört am dritten Tag jedes Monats alle erreichbaren Dateien mit Endungen wie .doc, .xls, .mdb, .mde, .ppt, .ppt, .pps, .zip, .rar, .pdf, .psd und .dmp. Laut F-Secure werden die Inhalte der zerstörten Dateien durch die Zeichenfolge "DATA Error [47 0F 94 93 F4 K5]" ersetzt.



Kommentare
Es sind keine Kommentare vorhanden.