[HBF] Virus-Warnung

Andreas Weise email at andrewas.de
Mon Jan 6 18:14:57 CET 2003 

Guten Tag Hubert Hanghofer,

Am Montag, 6. Januar 2003 um 17:23 schrieben Sie:


HH> Liebe Braugemeinde,

HH> es scheint, dass einige ältere [HBF] Nachrichten als Fragment von einem 
HH> Mail-Virus in Umlauf gebracht werden. Die Art des Virus ist mir unbekannt.

Hat sich bei mir als

Name: Worm/BubBear
Alias: I-Worm.Tanatos 
Type: Wurm
Größe: 50.688 Bytes
Plattform: Windows 95/98/ME/NT/2000/XP 
Schadensroutine: Worm/BubBear ist ein Massenmailer, der sich auch über gemappte Netzlaufwerke verbreiten kann. Der Wurm ist in der Lage, bestimmte
Antivirensoftware und Firewalls auszuschalten.

herausgestellt.

Infos darueber gibts im Web.

HH> Ich habe sogar eine alte Nachricht von mir selbst erhalten, aber meine 
HH> Absender Adresse war keine meiner gültigen Adressen.
Ja, er scheint die Adressen zu wuerfeln

Ich habe der Adresse, die mir den Virus geschickt hat, schon eine
Warnung zukommen lassen.

Nichtsdestotrotz sollten natuerlich alle hier im Forum ihre
Virenscanner Up-To-Date halten :)

HH> Bis jemand schlau daraus wird und den betroffenen genaue "Hygieneanweisungen" 
HH> zur Entfernung des Virus bietet, schlage ich vor, Mails die nicht an 
HH> <hbf at lists.k-town.de> gerichtet sind sondern z.B. an 
HH> <undisclosed-recipients:;> sofort zu löschen und auf gar keinen Fall zu 
HH> öffnen.
Vor allem auf die Endungen achten !

Es kam hier eine
Ersatzteilpreisliste.txt.EXE !!!
an !

Also immer den ganzen Namen anzeigen lassen und auf eventuelle Punkte
hinter dem Namen achten.

Wenn man von irgendwo eine Exe zugesendet bekommt, immer aeusserste
Vorsicht !

HH> Allzeit gut Sud!
Gut Sud zurueck, mein Porter ist gerade angesetzt.

HH> Hubert Hanghofer
HH> www.netbeer.org

AndreWas


Hier einfach zur Info, was als Beschreibung zum Wurm steht :

 Virenbeschreibung
 

  

Worm/BugBear

Erstmals aufgetreten am: 30-09-2002


Informationen

Name: Worm/BubBear
Alias: I-Worm.Tanatos 
Type: Wurm
Größe: 50.688 Bytes
Plattform: Windows 95/98/ME/NT/2000/XP 
Schadensroutine: Worm/BubBear ist ein Massenmailer, der sich auch über gemappte Netzlaufwerke verbreiten kann. Der Wurm ist in der Lage, bestimmte
Antivirensoftware und Firewalls auszuschalten.
 

Beschreibung

Worm/BubBear ist ein Wurm, der sich über das versenden von Emails weiterverbreitet. Ebenso kann der Wurm sich über gemappte Netzlaufwerke im lokalen
Intranet verbreiten. Der Wurm hat eine Größe von 50.588 Bytes und ist mit dem Laufzeitpacker UPX gepackt.

Wird Worm/BubBear ausgeführt, kopiert er sich in das Windows Systemverzeichnis (bei NT-Systemen in das System32-Verzeichnis) mit einem zufällig
ausgewählten Dateinamen (z.B. TOYT.EXE). Der Wurm legt folgenden Autorun Eintrag in der Registry an:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"pwi"="toyt.exe"
 
Der Name "pwi" ist ebenfalls zufällig gewählt.

Eine weitere Kopie von sich selbst wird im Autostart-Ordner des Startmenüs abgelegt, ebenfalls mit einem zufällig gewählten Dateiname.

Worm/BubBear führt eine Keylogger Komponente als .DLL mit sich. Diese wird mit einem zufällig gewählten Dateinamen in das Windows Systemverzeichnis
erstellt.
Ebenfalls wird eine weitere Datei mit der Dateiendung .DLL erstellt, die verschlüsselte Informationen enthält.

Der Wurm verbreitet sich mit dem Versandt von Emails. Er versendet sich über den Standart SMTP Server. Die Emailadressen bezieht er aus Dateien mit
folgender Dateiendung: .ODS, .MMF, .NCH, .MBX, .EML, .TBB, .DBX oder *INBOX*. Der Betreff der Email wird aus folgenden Varianten erstellt:

 Greets!
 Get 8 FREE issues - no risk!
 Hi!
 Your News Alert
 $150 FREE Bonus!
 Re:
 Your Gift
 New bonus in your cash account
 Tools For Your Online Business
 Daily Email Reminder
 News
 free shipping!
 its easy
 Warning!
 SCAM alert!!!
 Sponsors needed
 new reading
 CALL FOR INFORMATION!
 25 merchants and rising
 Cows
 My eBay ads
 empty account
 Market Update Report
 click on this!
 fantastic
 wow!
 bad news
 Lost & Found
 New Contests
 Today Only
 Get a FREE gift!
 Membership Confirmation
 Report
 Please Help...
 Stats
 I need help about script!!!
 Interesting...
 Introduction
 various
 Announcement
 history screen
 Correction of errors
 Just a reminder
 Payment notices
 hmm..
 update
 Hello!

In Ausnahmefällen kann die Betreffzeile einer Virenmail des Worm/BubBear einen komplett anderen Inhalt besitzen. 

Der Inhalt des Bodys und der Dateiname des Attachment der Email besteht aus unterschiedlichem Inhalt. Das Attachment kann aber eine doppelte Dateiendung
besitzen, von der die letztere Dateiendung immer .exe, .scr oder .pif aufweist.

Generell gilt, Emails mit einem Attachment eines unbekannten Absender, sollte man nie öffnen bzw. ausführen !!

Sollte eine gemapptes Netzlaufwerk auf dem Rechner zu finden sein, sucht Worm/BubBear nach einem Autostart-Verzeichnis und kopiert sich dort hinein. 

Der Wurm sucht nach folgenden Anwendungen und beendet diese umgehend:

 APVXDWIN.EXE      ANTI-TROJAN.EXE  ACKWIN32.EXE     _AVPM.EXE
 AVGCTRL.EXE       AVE32.EXE        AVCONSOL.EXE     AUTODOWN.EXE
 AVP32.EXE         AVP.EXE          AVNT.EXE         AVKSERV.EXE  
 AVPTC32.EXE       AVPM.EXE         AVPDOS32.EXE     AVPCC.EXE
 AVWUPD32.EXE      AVWIN95.EXE      AVSCHED32.EXE    AVPUPD.EXE 
 CFIAUDIT.EXE      CFIADMIN.EXE     BLACKICE.EXE     BLACKD.EXE
 CLAW95CF.EXE      CLAW95.EXE       CFINET32.EXE     CFINET.EXE
 DVP95_0.EXE       DVP95.EXE        CLEANER3.EXE     CLEANER.EXE
 F-AGNT95.EXE      ESPWATCH.EXE     ESAFE.EXE        ECENGINE.EXE
 FINDVIRU.EXE      F-STOPW.EXE      F-PROT95.EXE     F-PROT.EXE
 IAMAPP.EXE        FRW.EXE          FPROT.EXE        FP-WIN.EXE
 ICLOAD95.EXE      IBMAVSP.EXE      IBMASN.EXE       IAMSERV.EXE      
 ICSUPPNT.EXE      ICSUPP95.EXE     ICMON.EXE        ICLOADNT.EXE
 LOCKDOWN2000.EXE  JEDI.EXE         IOMON98.EXE      IFACE.EXE    
 MPFTRAY.EXE       MOOLIVE.EXE      LUALL.EXE        LOOKOUT.EXE      
 NAVNT.EXE         NAVLU32.EXE      NAVAPW32.EXE     N32SCANW.EXE
 NMAIN.EXE         NISUM.EXE        NAVWNT.EXE       NAVW32.EXE     
 OUTPOST.EXE       NVC95.EXE        NUPGRADE.EXE     NORMIST.EXE      
 PAVW.EXE          PAVSCHED.EXE     PAVCL.EXE        PADMIN.EXE     
 RAV7.EXE          PERSFW.EXE       PCFWALLICON.EXE  PCCWIN98.EXE
 SCAN32.EXE        SAFEWEB.EXE      RESCUE.EXE       RAV7WIN.EXE      
 SERV95.EXE        SCRSCAN.EXE      SCANPM.EXE       SCAN95.EXE     
 TBSCAN.EXE        SWEEP95.EXE      SPHINX.EXE       SMC.EXE          
 VET95.EXE         TDS2-NT.EXE      TDS2-98.EXE      TCA.EXE          
 VSHWIN32.EXE      VSECOMR.EXE      VSCAN40.EXE      VETTRAY.EXE      
 ZONEALARM.EXE     WFINDV32.EXE     WEBSCANX.EXE     VSSTAT.EXE    

Der Wurm öffnet den Port 36794 und kann so den Zugriff auf das infizierte Rechnersystem erlauben.

  weitere Virenbeschreibungen
  Virenkunde
 



-- 
Mit freundlichen Grüssen
Andreas Weise                            mailto:email at andrewas.de