Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-674

[MS/Generic] Trojanisches Pferd MyParty wird per E-Mail verbreitet
(2002-01-29 11:45:21+00)

Quelle: http://www.sophos.com/virusinfo/analyses/w32mypartya.html

Wieder einmal verbreiten einige unvorsichtige Microsoft-Windows-Nutzer ein trojanisches Pferd per E-Mail.

Betroffene Systeme

Einfallstor
Vom Benutzer ausgeführtes UUENCODE-Attachment. (UUENCODE-Attachments sind eine Methode, mit der vor der Entwicklung von MIME Dateien in Textnachrichten eingebettet wurden. Zahlreiche E-Mail-Programme präsentieren UUENCODE-Attachment in der gleichen Weise wie MIME-Attachments.)

Auswirkung
Der Wurm verbreitet sich selbst und schickt E-Mail an napster@gala.net. Zudem wird offenbar eine Hintertür (backdoor) installiert.

Typ der Verwundbarkeit
Fehlbedienung durch den Benutzer

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Dieses trojanische Pferd scheint sich ausschließlich per E-Mail zu verbreiten, und zwar über eine Nachricht mit dem folgenden Text:

Hello!

My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!

(Durch E-Nail-Gateways kann eine Verbreitung auch über andere Kanäle erfolgen, z.B. über das Usenet.)

In der Nachricht befindet sich ein UUENCODE-Attachment mit dem Dateinamen www.myparty.yahoo.com, welches ein Windows-Programm für die x86-Plattform darstellt. Der Benutzer muß das Programm von Hand starten, worauf sich der Wurm an Adressen aus dem Windows-Adreßbuch verschickt und eine Nachricht an napster@gala.net verschickt. Der Nachrichtenversand ist offenbar zeitlich begrenzt und wird nach ein paar Tagen eingestellt; was danach passiert, bleibt abzuwarten. Zudem wird eine Hintertür installiert. Mindestens eine der folgenden Dateien befindet sich auf einem betroffenen System:

Die Hintertür soll Verbindungen zur IP-Adresse 209.151.250.170 aufbauen.

Offenbar wissen viele Benutzer nicht, daß ".COM" nicht nur eine Top-Level-Domain ist, sondern auch eine Dateiendung von ausführbaren DOS- und Windows-Dateien, und folgen deswegen dem vermeintlichen Link.

Gegenmaßnahmen

Workaround für Mailserver-Administratoren

In den Logfiles verwendeter Smarthosts tauchen Verweise auf die Nachrichten an napster@gala.net auf, womit sich betroffene Nutzer ausmachen lassen.

Generelle Empfehlung (Wh)

Bekannte Aliases

Weitere Information zu diesem Thema

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=674