Wurmangriff: Bugbear und Opaserv schlagen zu

Dienstag 1. Oktober 2002, 10:54 Uhr
Wurmangriff: Bugbear und Opaserv schlagen zu
Zwei Windows32-Würmer verbreiten sich derzeit rasant im Netz: Bugbear - alias Tanatos - und Opaserv, auch als Scrup bekannt. Beide befallen von der infizierten Maschine aus auch Netzwerk-Shares.
Bugbear , ein klassischer Massmailer-Wurm, kommt als UPX-gepacktes Mailattachment mit 50 KByte ANZEIGE

Länge. Wie sein Vetter Klez nutzt er die IFRAME-Vulnerability des MS Internet Explorer 5.x, um sich beim Preview oder Öffnen der Mail mit MS Outlook zu starten.
Der Wurm kopiert sich als .exe mit einem dreibuchstabigen, zufallsgenerierten Namen (etwa cuu.exe oder cti.exe) in den lokalen Startup-Folder. So wird er bei jedem Neustart wieder ausgeführt. Kann er über Netzwerk-Shares die Startup-Verzeichnisse anderer Rechner erreichen, nistet er sich dort ebenfalls ein.
Nach dem Start legt Bugbear drei DLLs im %system%-Directory sowie zwei .dat-Files im %windir%-Verzeichnis an. Diese nicht selbst virulenten Dateien tragen exotische Namen wie lgguqqa.dll oder okkqsa.dat und müssen, da AV-Scanner sie nicht direkt erkennen können, manuell entfernt werden.
Der Wurm sucht alle Mail-Files auf dem befallenen Rechner nach Adressen ab und versendet sich dann an diese weiter. Dazu nutzt er seinen eigenen, integrierten SMTP-Engine und verwendet als Relay den in HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts eingetragenen Server.

Damit nicht genug: Findet Bugbear im Speicher einen Antiviren-Scanner-Prozess, terminiert er diesen. Davon betroffen sind die Produkte aller gängigen AV-Hersteller. Zudem öffnet der Wurm auf dem Rechner auch noch eine Backdoor , die sich über den TCP-Port 36794 erreichen lässt.

Der Opaserv -Wurm, über dessen Erstinfektionsweg bis jetzt bei keinem AV-Hersteller Informationen verfügbar sind, verbreitet sich wie Bugbear über freigegebene Netzwerkverzeichnisse. Er kopiert sich selbst als scrsvr.exe auf den Remote-Rechner. Anschließend versucht er, von der Site http://www.opasoft.com ein Update ("scrupd.exe") nachzuladen.

Um bei jedem Booten erneut geladen zu werden, trägt sich Opaserv in den Schlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run der Registry ein. Dort kann er unter verschiedenen Namen auftauchen, die jedoch alle den Namensbestandteil "scrsrv" gemeinsam haben. Zudem legt er im Wurzelverzeichnis des Laufwerks C: die Datei tmp.ini an. Anschließend modifiziert er die reguläre win.ini so, dass sie über tmp.ini ebenfalls zum Start des Wurms dienen kann.
Eine von außen erfolgte Infektion mit Opaserv lässt sich entsprechend am Vorhandensein dieser Datei erkennen. Wurde der Wurm lokal bereits ausgeführt, finden sich zudem die Files scrsin.dat und scrsout.dat im Wurzelverzeichnis des C:-Laufwerks.

Alle größeren Antiviren-Hersteller bietet bereits Signaturen an, mit deren Hilfe sich Bugbear und Opaserv identifizieren und unschädlich machen lassen. Es empfiehlt sich dringend, die entsprechenden Updates schnellsten einzuspielen. (jlu)

_________________
Worm/BugBear

Erstmals aufgetreten am: 30-09-2002

Informationen

Name: Worm/BubBear
Alias: I-Worm.Tanatos
Type: Wurm
Größe: 50.688 Bytes
Plattform: Windows 95/98/ME/NT/2000/XP
Schadensroutine: Worm/BubBear ist ein Massenmailer, der sich auch über gemappte Netzlaufwerke verbreiten kann. Der Wurm ist in der Lage, bestimmte Antivirensoftware und Firewalls auszuschalten.

Beschreibung

Worm/BubBear ist ein Wurm, der sich über das versenden von Emails weiterverbreitet. Ebenso kann der Wurm sich über gemappte Netzlaufwerke im lokalen Intranet verbreiten. Der Wurm hat eine Größe von 50.588 Bytes und ist mit dem Laufzeitpacker UPX gepackt.

Wird Worm/BubBear ausgeführt, kopiert er sich in das Windows Systemverzeichnis (bei NT-Systemen in das System32-Verzeichnis) mit einem zufällig ausgewählten Dateinamen (z.B. TOYT.EXE). Der Wurm legt folgenden Autorun Eintrag in der Registry an:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"pwi"="toyt.exe"

Der Name "pwi" ist ebenfalls zufällig gewählt.

Eine weitere Kopie von sich selbst wird im Autostart-Ordner des Startmenüs abgelegt, ebenfalls mit einem zufällig gewählten Dateiname.

Worm/BubBear führt eine Keylogger Komponente als .DLL mit sich. Diese wird mit einem zufällig gewählten Dateinamen in das Windows Systemverzeichnis erstellt.
Ebenfalls wird eine weitere Datei mit der Dateiendung .DLL erstellt, die verschlüsselte Informationen enthält.

Der Wurm verbreitet sich mit dem Versandt von Emails. Er versendet sich über den Standart SMTP Server. Die Emailadressen bezieht er aus Dateien mit folgender Dateiendung: .ODS, .MMF, .NCH, .MBX, .EML, .TBB, .DBX oder *INBOX*. Der Betreff der Email wird aus folgenden Varianten erstellt:

Greets!
Get 8 FREE issues - no risk!
Hi!
Your News Alert
$150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
Tools For Your Online Business
Daily Email Reminder
News
free shipping!
its easy
Warning!
SCAM alert!!!
Sponsors needed
new reading
CALL FOR INFORMATION!
25 merchants and rising
Cows
My eBay ads
empty account
Market Update Report
click on this!
fantastic
wow!
bad news
Lost & Found
New Contests
Today Only
Get a FREE gift!
Membership Confirmation
Report
Please Help...
Stats
I need help about script!!!
Interesting...
Introduction
various
Announcement
history screen
Correction of errors
Just a reminder
Payment notices
hmm..
update
Hello!

In Ausnahmefällen kann die Betreffzeile einer Virenmail des Worm/BubBear einen komplett anderen Inhalt besitzen.

Der Inhalt des Bodys und der Dateiname des Attachment der Email besteht aus unterschiedlichem Inhalt. Das Attachment kann aber eine doppelte Dateiendung besitzen, von der die letztere Dateiendung immer .exe, .scr oder .pif aufweist.

Generell gilt, Emails mit einem Attachment eines unbekannten Absender, sollte man nie öffnen bzw. ausführen !!

Sollte eine gemapptes Netzlaufwerk auf dem Rechner zu finden sein, sucht Worm/BubBear nach einem Autostart-Verzeichnis und kopiert sich dort hinein.

Der Wurm sucht nach folgenden Anwendungen und beendet diese umgehend:

APVXDWIN.EXE ANTI-TROJAN.EXE ACKWIN32.EXE _AVPM.EXE
AVGCTRL.EXE AVE32.EXE AVCONSOL.EXE AUTODOWN.EXE
AVP32.EXE AVP.EXE AVNT.EXE AVKSERV.EXE
AVPTC32.EXE AVPM.EXE AVPDOS32.EXE AVPCC.EXE
AVWUPD32.EXE AVWIN95.EXE AVSCHED32.EXE AVPUPD.EXE
CFIAUDIT.EXE CFIADMIN.EXE BLACKICE.EXE BLACKD.EXE
CLAW95CF.EXE CLAW95.EXE CFINET32.EXE CFINET.EXE
DVP95_0.EXE DVP95.EXE CLEANER3.EXE CLEANER.EXE
F-AGNT95.EXE ESPWATCH.EXE ESAFE.EXE ECENGINE.EXE
FINDVIRU.EXE F-STOPW.EXE F-PROT95.EXE F-PROT.EXE
IAMAPP.EXE FRW.EXE FPROT.EXE FP-WIN.EXE
ICLOAD95.EXE IBMAVSP.EXE IBMASN.EXE IAMSERV.EXE
ICSUPPNT.EXE ICSUPP95.EXE ICMON.EXE ICLOADNT.EXE
LOCKDOWN2000.EXE JEDI.EXE IOMON98.EXE IFACE.EXE
MPFTRAY.EXE MOOLIVE.EXE LUALL.EXE LOOKOUT.EXE
NAVNT.EXE NAVLU32.EXE NAVAPW32.EXE N32SCANW.EXE
NMAIN.EXE NISUM.EXE NAVWNT.EXE NAVW32.EXE
OUTPOST.EXE NVC95.EXE NUPGRADE.EXE NORMIST.EXE
PAVW.EXE PAVSCHED.EXE PAVCL.EXE PADMIN.EXE
RAV7.EXE PERSFW.EXE PCFWALLICON.EXE PCCWIN98.EXE
SCAN32.EXE SAFEWEB.EXE RESCUE.EXE RAV7WIN.EXE
SERV95.EXE SCRSCAN.EXE SCANPM.EXE SCAN95.EXE
TBSCAN.EXE SWEEP95.EXE SPHINX.EXE SMC.EXE
VET95.EXE TDS2-NT.EXE TDS2-98.EXE TCA.EXE
VSHWIN32.EXE VSECOMR.EXE VSCAN40.EXE VETTRAY.EXE
ZONEALARM.EXE WFINDV32.EXE WEBSCANX.EXE VSSTAT.EXE

Der Wurm öffnet den Port 36794 und kann so den Zugriff auf das infizierte Rechnersystem erlauben.

[ Diese Nachricht wurde geändert von: Jornbyte am 16 Okt 2002 11:22 ]