W32/Dumaru.Y

In der Nacht auf den 24. Januar 2004 wurde eine neue Variante des Dumaru-Wurms [1] entdeckt. Wie es die meisten Würmer tun, verschickt er automatisch E-Mails mit gefälschten Absenderinfos. Die Mails von Dumaru.Y haben diese Kennzeichen:

Absendername: Elena

Absenderadresse: FUCKENSUICIDE@HOTMAIL.COM

Betreff: Important information for you. Read it immediately !

Beilage: MYPHOTO.ZIP

Text: "Hi! Here is my photo, that you asked for yesterday."

In der Beilage MYPHOTO.ZIP steckt eine Datei, deren Name so gewählt wurde, dass so mancher unaufmerksame Benutzer reinfällt:

Myphoto.jpg (gefolgt von bis zu 56 Leerzeichen).exe.

Wird diese Datei gestartet, installiert sich der Wurm im System und verschickt sich danach an alle E-Mail-Adressen, die er unter anderem im Windows-Adressbuch, in den Maildatenbanken von Outlook Express und in gespeicherten HTM-Dateien findet.

Es sind übrigens diese Dateien, die Dumaru.Y ablegt, um sich zu installieren, je nach Windows-Version in leicht unterschiedlichen Ordnern:

Dateiname: RUNDLLX.SYS

Im Ordner C:\Windows\ oder C:\WINNT

Dateiname: L32X.EXE und

Dateiname: VXD32V.EXE

Im Ordner C:\Windows\System32\ oder C:\WINNT\System32\ oder C:\Windows\System\

Dateiname: DLLXW.EXE

Im Autostart-Ordner, der je nach Windows-Version und Art der Installation an einem anderen Ort liegt, z.B.

C:\Dokumente und Einstellungen\(Benutzer)\Startmenü\Programme\Autostart\

Der Wurm erstellt einige Einträge im System, um unter anderem zu gewährleisten, dass er bei jedem PC-Start ausgeführt und in den Arbeitsspeicher geladen wird:

In der Windows-Registry, in diesem Zweig:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Eintrag: "load32", der z.B. auf die Datei L32X.EXE verweist

Unter Windows NT oder 2000, ev. auch Windows XP:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Ändert er den Wert des Eintrags "Shell" von diesem Wert:

"explorer.exe" zu "explorer.exe %SysDir%\VXD32V.EXE"

In manchen Fällen erstellt er in der Registry auch diesen Eintrag, der offenbar keine besonderen Auswirkungen hat, da hier keine Datei aufgerufen wird:

HKEY_LOCAL_MACHINE\Software\SARS

Im Windows-Ordner existieren seit jeher ein paar Konfigurationsdateien mit Endung INI. Zwei davon verändert der Wurm ebenfalls, damit er noch ein zweites bzw. drittes Standbein fürs automatische Ausführen beim PC-Start hat:

WIN.INI

Wenn darin der Abschnitt [windows] nicht schon drinsteht, fügt er ihn mit diesem Eintrag hinzu:

[windows]

"run" = (Windows-Ordner)\RUNDLLX.SYS

SYSTEM.INI:

Im Abschnitt [boot] ergänzt er einen bestehenden Eintrag:

[boot]

Von: "shell" = Explorer.exe

Zu: "shell" = explorer.exe %SysDir%\VXD32V.EXE

Schäden:

Der Wurm Dumaru.Y öffnet eine Hintertür in der Internetverbindung, sodass ein Angreifer darauf zugreifen könnte. Ausserdem speichert er auch eingetippte Passwörter in eine Datei namens vxdload.log oder winload.log. Sobald genügend Kennwörter enthalten sind, mailt er diese Datei an eine im Programmcode festgelegte Adresse.

Beseitigung:

1. Wer Windows Me oder Windows XP hat, muss zuerst die Systemwiederherstellung ausschalten [2], sonst werden die zu löschenden Einträge beim nächsten PC-Start wiederhergestellt.

2. Ist dies erledigt oder haben Sie eine andere Windows-Version, aktualisieren Sie die Virendefinitionen Ihres Virenscanners.

3. Nun gehts je nach Windows-Version etwas anders:

Windows NT/2000/XP: Wurm-Prozesse beenden

Drücken Sie CTRL+ALT+DELETE, klicken Sie auf "Task-Manager" und wechseln Sie ins Register "Prozesse". Mit einem Doppelklick auf den Spaltentitel "Name" sortieren Sie die Prozessnamen alphabetisch. Halten Sie Ausschau nach Prozessen mit diesen Namen: dllxw.exe, l32x.exe, vxd32v.exe

Finden Sie einen davon, klicken Sie ihn an, klicken auf "Prozess beenden" und bestätigen allenfalls die Rückfrage von Windows. Schliessen Sie den Taskmanager durch einen Klick aufs X-Kreuzchen oben rechts.

Windows 95/98/Me: Starten im abgesicherten Modus

Fahren Sie den PC ganz herunter, schalten ihn aus und warten ca. 30 Sekunden. Schalten Sie ihn wieder ein.

Wer Windows 95 hat, wartet einen Moment, bis die BIOS-Meldungen vorbei sind und drückt dann sofort F8 (ev. mehrmals), wenn in weisser Schrift "Starten von Windows 95" erscheint.

Unter Windows 98 oder Me drücken und halten Sie kurz nach dem Einschalten die CTRL-Taste fest und warten Sie, bis das Boot-Menü erscheint. Wählen Sie den abgesicherten Modus.

4. Jetzt gilt wieder für alle Windows-Versionen:

Scannen Sie nun alle Festplattenlaufwerke des PCs nach Viren. Löschen Sie alle Dateien, die Ihnen Ihr Virenscanner als infiziert mit Dumaru.Y anzeigt.

5. Löschen Sie (mit der gebotenen Vorsicht!) die oben erwähnten Einträge, die der Wurm in der Windows Registry und in den INI-Dateien erstellt hat.

Informationen über diesen Wurm finden Sie auch (meist in Englisch) in den Virenbeschreibungen der Antivirushersteller, z.B. bei F-Secure [3], NAI (McAfee) [4], Panda [5] und Symantec [6].

Es ist zu vermuten, dass von diesem Wurm noch weitere Varianten auftauchen, die andere Mail-Texte und andere Dateinamen verwenden.