Meldung Nr: RUS-CERT-674

[MS/Generic] Trojanisches Pferd MyParty wird per E-Mail verbreitet
(2002-01-29 11:45:21+00)

Quelle: http://www.sophos.com/virusinfo/analyses/w32mypartya.html

Wieder einmal verbreiten einige unvorsichtige Microsoft-Windows-Nutzer ein trojanisches Pferd per E-Mail.

Betroffene Systeme

• x86-Systeme unter Microsoft Windows
• Systeme, die x86- bzw. Windows-Emulationen verwenden.

Einfallstor
Vom Benutzer ausgeführtes UUENCODE-Attachment. (UUENCODE-Attachments sind eine Methode, mit der vor der Entwicklung von MIME Dateien in Textnachrichten eingebettet wurden. Zahlreiche E-Mail-Programme präsentieren UUENCODE-Attachment in der gleichen Weise wie MIME-Attachments.)

Auswirkung
Der Wurm verbreitet sich selbst und schickt E-Mail an napster@gala.net. Zudem wird offenbar eine Hintertür (backdoor) installiert.

Typ der Verwundbarkeit
Fehlbedienung durch den Benutzer

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Dieses trojanische Pferd scheint sich ausschließlich per E-Mail zu verbreiten, und zwar über eine Nachricht mit dem folgenden Text:

Hello!

My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!

(Durch E-Nail-Gateways kann eine Verbreitung auch über andere Kanäle erfolgen, z.B. über das Usenet.)

In der Nachricht befindet sich ein UUENCODE-Attachment mit dem Dateinamen www.myparty.yahoo.com, welches ein Windows-Programm für die x86-Plattform darstellt. Der Benutzer muß das Programm von Hand starten, worauf sich der Wurm an Adressen aus dem Windows-Adreßbuch verschickt und eine Nachricht an napster@gala.net verschickt. Der Nachrichtenversand ist offenbar zeitlich begrenzt und wird nach ein paar Tagen eingestellt; was danach passiert, bleibt abzuwarten. Zudem wird eine Hintertür installiert. Mindestens eine der folgenden Dateien befindet sich auf einem betroffenen System:

• C:\RECYCLED\REGCTRL.EXE (nicht im Windows-Explorer sichtbar, nur vom DOS-Prompt aus)
• C:\REGCTRL.EXE
• %userprofile%\Start Menu\Programs\Startup\msstask.exe (Der Pfad kann auf deutschen Windows-Installationen anders lauten, da es sich hier um den Autostart-Ordner im Windows-Start-Menü handelt.)

Die Hintertür soll Verbindungen zur IP-Adresse 209.151.250.170 aufbauen.

Offenbar wissen viele Benutzer nicht, daß ".COM" nicht nur eine Top-Level-Domain ist, sondern auch eine Dateiendung von ausführbaren DOS- und Windows-Dateien, und folgen deswegen dem vermeintlichen Link.

Gegenmaßnahmen

• Generell ist die Neuinstallation kompromittierter Systeme oder das Rückspielen eines vertrauenswürdigen Backups empfehlenswert.
• Manche Hersteller bieten an, das trojanische Pferd automatisch zu entfernen. Folgen Sie in diesem Fall den Anweisungen des Herstellers.

Workaround für Mailserver-Administratoren

• Filterung aller UUENCODE-Attachments mit dem Namen www.myparty.yahoo.com. (Achtung: Filter auf MIME-Attachments greifen hier nicht!)
• Content-Filterung auf "begin 666 www.myparty.yahoo.com" am Zeilenanfang (generelles Filtern würde Warnmeldungen wie diese unterdrücken).

In den Logfiles verwendeter Smarthosts tauchen Verweise auf die Nachrichten an napster@gala.net auf, womit sich betroffene Nutzer ausmachen lassen.

Generelle Empfehlung (Wh)

• Führen Sie keinerlei Attachments aus, die sie per Email erhalten haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Mißtrauen des Benutzers.
• Aktualisieren Sie Ihren Virenscanner sooft wie möglich.

Bekannte Aliases

• W32/MyParty-A
• W32/MyParty-A@mm
• W32.MyParty-A@mm
• I-Worm.Myparty
• W32.MyParty-B@mm (Variante mit dem Attachment-Namen myparty.photos.yahoo.com und anderem Aktivitätszeitraum)

Weitere Information zu diesem Thema

• Analyse von Kapersky
• Analyse von Symantec
• Hintergrund-Information von VIRUSLIST.COM
• Beschreibung von McAfee

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

---

https://cert.uni-stuttgart.de/ticker/article.php?mid=674