W32.Moe (alias Onamu, Desos)

Die Antivirus-Hersteller waren bei der Namensvergabe für diesen Wurm übermässig kreativ. Bei NAI [1] und Sophos [2] heisst er "Onamu". Bei TrendMicro [3], Panda [4] und BitDefender [5] ist er als "Moe" bekannt und Kaspersky [6] führt denselben Schädling unter "Desos". Um das Chaos noch zu komplettieren, heisst dieser in der Symantec-Datenbank [7] "W95.Stoogy.Worm".

Abgesehen vom Namens-Chaos sind sich die Antivirus-Hersteller aber einig, dass der Virus in freier Wildbahn aufgetaucht ist und sich in E-Mails mit den folgenden Merkmalen verbreitet:

Absender: Dessen Name ist gefälscht und wird aus einem spanischen oder italienischen Vornamen, einem Mittel-Initialen und einem spanisch oder italienisch klingenden Nachnamen zusammengesetzt, zum Beispiel "Sofia A. Rodriguez". Auch die E-Mail-Adresse, die als Absender drinsteht, entspricht nicht jener, die wirklich dem Besitzer des infizierten PCs gehört; stattdessen werden Adressen von yahoo.com, netscape.com, illusive.org, hotmail.com oder compuserve.com verwendet.

Betreffzeile: Diese besteht aus einem kurzen Wort oder Begriff in Spanisch.

Mail-Text: Ein kurzer Satz in Spanisch. Sie finden eine Auswahl der möglichen Texte in den unten verlinkten Beschreibungen der Antivirus-Hersteller.

Wurm-Beilage: Die Beilage trägt ebenfalls einen kurzen spanischen Namen und die Endung EXE (z.B. Hombre.exe, Confesion.exe).

Wird die Beilage ausgeführt, wird eine Dialogbox mit dem folgenden Text und einer OK-Schaltfläche angezeigt:

"Command line option syntax error. Type Command /? for Help."

Nun kopiert sich der Wurm unter einem zufällig gewählten, fünf Zeichen langen Namen und der Endung EXE in den Windows-Ordner. Gemäss Symantec besteht dieser Dateiname jeweils aus fünf aufeinander folgenden Zeichen aus dieser Buchstabenreihe, also z.B. Esmtp.exe oder peglA.exe:

leginolasoPeyeguiEsmtpeglAdklityghbcxskalBxvqe

Diese Datei trägt der Wurm in der Windows-Registry ein, damit sie bei jedem PC-Start automatisch geladen wird. Der Eintrag befindet sich in diesem Schlüssel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

5stelliger Dateiname = C:\Windows\5stelliger Dateiname.exe

Nun verschickt sich der Wurm automatisch an alle Adressen, die er im Windows-Adressbuch oder in zwischengespeicherten Webseiten auf dem infizierten PC findet.

Zumindest in einer Variante sei der Wurm gemäss Informationen von NAI auch ein Virus, da er fähig sei, bestehende Dateien anzustecken. Hierfür nimmt er sich Dateien mit Endung EXE und SCR im Windows-Ordner vor, sowie in darin enthaltenen Unter-Ordnern.

Ein anderer Antivirus-Hersteller (Symantec) hat zudem herausgefunden, dass der Wurm einen weiteren Registry-Unterschlüssel erstellt, mit einem sechs Zeichen langen, zufällig gewählten Namen, und zwar hier: HKEY_LOCAL_MACHINE\Software\. Dort trage der Wurm zwei Werte ein, wieder mit sechsstelligen Zufallsnamen. Diese Namen sind offenbar jeweils sechs aufeinander folgende Zeichen aus diesen Buchstabenreihen:

KeutlipoeRidewantResentriolamjOwertexpionKirtyun

PEGALSOMANTIDENTUSENSATOAPLEUTOWKLEMICOSNLIGHDRTE

Beispiel:

Der Unterschlüssel könnte so heissen: HKEY_LOCAL_MACHINE\Software\poeRID

und die darin enthaltenen Werte so: MANTID und OMANTI

Beseitigung:

Die beste Bekämpfung ist natürlich das Vermeiden einer Ansteckung. Da der Wurm in den bisher aufgetauchten Varianten keine speziellen Sicherheitslücken missbraucht, können wir Ihnen hauptsächlich empfehlen, keine Mail-Beilagen zu öffnen, die Sie nicht erwartet haben, besonders nicht von Leuten, die Sie nicht kennen.

Sollte es doch passiert sein, aktualisieren Sie Ihren Virenscanner und scannen Sie die gesamte Festplatte nach Viren.

Richten Sie Ihr Augenmerk auf die folgende Tatsache: Wie aus der obigen Beschreibung hervorgeht, legt der Wurm eine neue Datei im Windows-Ordner ab, die er in der Registry einträgt. Diese können Sie ersatzlos löschen, denn sie ist vollumfänglich ein Schädling. Es wird sich um die Datei mit dem fünfstelligen Namen handeln (siehe Beschreibung).

Falls Ihr Virenscanner noch andere Dateien mit diesem Schädling "infiziert" meldet, sind dies Dateien, die schon da waren, jetzt aber den Virus in sich tragen. Diese sollten Sie am besten durch saubere Kopien ab Windows-Installations-CD wiederherstellen. Sollte dies nicht möglich sein, können Sie versuchen, die Dateien durch Ihren Virenscanner reinigen zu lassen.

Vorsicht: Dateien, die einmal infiziert waren, entsprechen trotz einer Reinigung nicht exakt dem ursprünglichen Original. Sie können ja beides versuchen: Notieren Sie sich auf jeden Fall die Namen der Dateien, die Ihr Virenscanner reinigt. So sind Sie zumindest den Virus los und können sich später ans Ersetzen der Dateien machen.

Nun entfernen Sie noch die beiden Registry-Schlüssel, die vom Wurm erstellt wurden. Welche dies sind, finden Sie am besten anhand der obigen Beschreibung heraus.