[MS/Generic] Trojanisches Pferd MyParty wird per E-Mail verbreitet
(2002-01-29 11:45:21+00)
Quelle:
http://www.sophos.com/virusinfo/analyses/w32mypartya.html
Wieder einmal verbreiten einige unvorsichtige Microsoft-Windows-Nutzer ein trojanisches Pferd per E-Mail.
Betroffene Systeme
- x86-Systeme unter Microsoft Windows
- Systeme, die x86- bzw. Windows-Emulationen verwenden.
Einfallstor
Vom Benutzer ausgeführtes UUENCODE-Attachment.
(UUENCODE-Attachments sind eine Methode, mit der vor der Entwicklung
von MIME Dateien in Textnachrichten eingebettet wurden.
Zahlreiche E-Mail-Programme präsentieren UUENCODE-Attachment in der
gleichen Weise wie MIME-Attachments.)
Auswirkung
Der Wurm verbreitet sich selbst und schickt E-Mail an
napster@gala.net
. Zudem wird offenbar eine
Hintertür (backdoor) installiert.
Typ der Verwundbarkeit
Fehlbedienung durch den Benutzer
Gefahrenpotential
mittel
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Beschreibung
Dieses trojanische Pferd
scheint sich ausschließlich per E-Mail zu verbreiten,
und zwar über eine Nachricht mit dem folgenden Text:
Hello! My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!
(Durch E-Nail-Gateways kann eine Verbreitung auch über andere Kanäle erfolgen, z.B. über das Usenet.)
In der Nachricht befindet sich ein UUENCODE-Attachment mit dem
Dateinamen
www.myparty.yahoo.com
, welches ein Windows-Programm
für die x86-Plattform darstellt. Der Benutzer muß das Programm
von Hand starten, worauf sich der Wurm an Adressen aus dem
Windows-Adreßbuch verschickt und eine Nachricht an napster@gala.net
verschickt. Der Nachrichtenversand
ist offenbar zeitlich begrenzt und wird nach ein paar Tagen
eingestellt; was danach passiert, bleibt abzuwarten.
Zudem wird eine Hintertür installiert.
Mindestens eine der folgenden Dateien
befindet sich auf einem betroffenen System:
C:\RECYCLED\REGCTRL.EXE
(nicht im Windows-Explorer sichtbar, nur vom DOS-Prompt aus)C:\REGCTRL.EXE
%userprofile%\Start Menu\Programs\Startup\msstask.exe
(Der Pfad kann auf deutschen Windows-Installationen anders lauten, da es sich hier um den Autostart-Ordner im Windows-Start-Menü handelt.)
Offenbar wissen viele Benutzer nicht, daß ".COM
" nicht nur
eine Top-Level-Domain ist, sondern auch eine Dateiendung von
ausführbaren DOS- und Windows-Dateien, und folgen deswegen dem
vermeintlichen Link.
Gegenmaßnahmen
- Generell ist die Neuinstallation kompromittierter Systeme oder das Rückspielen eines vertrauenswürdigen Backups empfehlenswert.
- Manche Hersteller bieten an, das trojanische Pferd automatisch zu entfernen. Folgen Sie in diesem Fall den Anweisungen des Herstellers.
Workaround für Mailserver-Administratoren
- Filterung aller UUENCODE-Attachments mit dem Namen
www.myparty.yahoo.com
. (Achtung: Filter auf MIME-Attachments greifen hier nicht!) - Content-Filterung auf "
begin 666 www.myparty.yahoo.com
" am Zeilenanfang (generelles Filtern würde Warnmeldungen wie diese unterdrücken).
napster@gala.net
auf, womit sich
betroffene Nutzer ausmachen lassen.
Generelle Empfehlung (Wh)
- Führen Sie keinerlei Attachments aus, die sie per Email erhalten haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Mißtrauen des Benutzers.
- Aktualisieren Sie Ihren Virenscanner sooft wie möglich.
Bekannte Aliases
- W32/MyParty-A
- W32/MyParty-A@mm
- W32.MyParty-A@mm
- I-Worm.Myparty
- W32.MyParty-B@mm (Variante mit dem Attachment-Namen
myparty.photos.yahoo.com
und anderem Aktivitätszeitraum)
Weitere Information zu diesem Thema
- Analyse von Kapersky
- Analyse von Symantec
- Hintergrund-Information
von
VIRUSLIST.COM
- Beschreibung von McAfee
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=674