W32.Higuy (Tettona)

Der Wurm "Higuy" trägt in den Virendatenbanken mancher Antivirus-Hersteller auch den Namen "Tettona". Der Schädling trifft meist in einer Mail in italienischer Sprache ein. Er verwendet in den bisher bekannten italienischen Versionen eine von diesen Betreffzeilen:

"Qualsiasi cosa fai,falla al meglio."

oder "Urgente! (vedi allegato)"

oder "Incredibile.."

Der Mail-Text beginnt in der italienischen Fassung mit "Ciao,", endet mit "A presto..." und hat einen dieser drei möglichen Mittelteile:

"okkio all'allegato ;-)"

oder "apri subito l'allegato,e' molto interessante."

oder "devi assolutamente vedere il file che ti ho allegato."

In einer ebenfalls aufgetauchten englischen Fassung trägt die Mail diese Kennzeichen:

Betreff: "Incredible.."

Mail-Text:

"Hello,

see this interesting file.

Bye."

Wird die Mailbeilage (namens tattoo.exe, euro.exe oder tettona.exe) durch den Benutzer gestartet (in der Mail doppelgeklickt), kopiert sich der Wurm unter dem Dateinamen DLLMGR32.EXE in den Windows-Ordner. Diese Datei trägt er in der Windows-Registry unter folgendem Schlüssel ein, damit er sich bei jedem Windows-Start automatisch wieder lädt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Eintrags-Name: "DllManager"

Wert = "(Windows-Ordner)\dllmgr32.exe"

Anschliessend wird offenbar zur Ablenkung des Benutzers eine gefälschte Fehlermeldung angezeigt, mit dem Text "Error - VBRUN49.DLL not found!".

Nun beginnt der Wurm, sich mit den oben erwähnten Eigenschaften an alle Einträge des Windows Adressbuchs zu verschicken.

Leider öffnet der Wurm im PC auch eine Hintertüre, die das System für Crackerangriffe anfällig macht. Gemäss der Beschreibung des Kaspersky-Labors öffnet der Schädling den TCP/IP-Port 5001 und wartet darauf, bis sich ein Angreifer mit ihm beschäftigt. So könnte jemand mit den nötigen Kenntnissen via Internet Dateien von diesem PC stehlen oder darauf beliebige Programme starten.

Der Wurm sei zudem auch dazu programmiert, am 12. Januar dem verdutzten Benutzer diese Warnung anzuzeigen:

"Hello,

Ciao,

il tuo computer É infettato dal virus FralÍ.

Certo che devi essere proprio un pirlone,

per esserti fatto fregare dal mio stupidissimo worm.

Va bÉ,vÁ,non ti preoccupare,oggi non sono in vena di cattiverie,

ed É anche un giorno festivo per me.

Buona giornata..

by 4nt4R35"

Führen Sie keine Mail-Beilagen aus, die sie nicht explizit erwartet haben, auch wenn diese von Freunden stammen. Aktualisieren Sie Ihren Virenscanner, damit dieser den Schädling erkennt, falls er bei Ihnen eintrifft.

Wenn sich Ihr PC bereits mit dem Wurm angesteckt hat, müssen Sie ihn zuerst aus dem Arbeitsspeicher entfernen, damit Sie die Datei löschen können: Unter Windows 9x/ME öffnen Sie den Taskmanager mit der Tastenkombination CTRL-ALT-DELETE. Unter Windows NT/2000 oder XP verwenden Sie die Tastenkombination CTRL-SHIFT-ESC. In der Liste der aktiven Programme (bei Windows NT/2000/XP unter "Prozesse") klicken Sie das Programm "Dlmgr32 - dllmgr32.exe" an und anschliessend die Schaltfläche "Task beenden" bzw. "Prozess beenden". Bestätigen Sie allfällige Rückfragen des Systems.

Nun entfernen Sie den Registry-Schlüssel, den der Wurm erstellt hat. Zu diesem Zweck gehen Sie zu "Start/Ausführen", tippen REGEDIT ein und drücken Enter. Wie Sie wahrscheinlich wissen, ist die Registry quasi das Herz von Windows. Eine Fehlmanipulation im Registry-Editor könnte schwerwiegende Folgen haben! Erstellen Sie deshalb im Registry-Editor via "Registrierung/Registrierungsdatei exportieren" eine Sicherung der gesamten Registry und speichern Sie diese an einem Ort auf Ihrer Festplatte ab, den Sie leicht wieder finden. Wenn alles geklappt hat, können Sie diese Sicherung später wieder löschen.

Durch Klicks auf die Pluszeichen neben den einzelnen Zweigen hangeln Sie sich zu diesem Eintrag vor und klicken ihn an:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

In der rechten Fensterhälfte sollten Sie nun einen Eintrag namens "DllManager" sehen. Klicken Sie diesen mit Rechts an und wählen Sie im Kontextmenü den Befehl "Löschen".

Scannen Sie anschliessend Ihre Festplatte mit einem frisch aktualisierten Virenscanner und löschen Sie alle Dateien, die von diesem als infiziert angegeben wurden. Bei diesem Schädling wird es sich wahrscheinlich nur um eine einzige "infizierte" Datei handeln, die im Windows-Ordner liegt und etwa den Namen "dllmgr32.exe" trägt.

Informationen über den Higuy/Tettona-Wurm finden Sie zum Beispiel bei Kaspersky [1], NAI [2] oder TrendMicro [3].