Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-974

[MS/Generic] Wurm verbreitet sich über Netzlaufwerke und E-Mail
(2002-09-30 17:36:50.044943+00)

Quelle: http://www.f-secure.com/v-descs/tanatos.shtml

Der Wurm 'BugBear/Tanatos' verbreitet sich per E-Mail mit variablen Betreff und Attachmentnamen sowie mittels Netzlaufwerkverbindungen. Der Bugbear/Tanatos-Wurm installiert auf Port 36794 eine Hintertür und zeichnet Tastatureingaben auf.

Betroffene Systeme

Referenzname/Aliases

Einfallstor

Auswirkung

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Infektion
Bugbear ist ein Wurm, der sich sowohl über E-Mail als auch über NetBIOS-Verbindungen verbreitet. Bei Empfang einer infizierten E-Mail-Nachricht durch Microsoft Outlook, Outlook Express oder Internet Explorer versucht der Wurm, eine bereits bekannte Schwachstelle bei der Verarbeitung von MIME-Types oder eine IFRAME-Schwachstelle in den o. g. Produkten auszunutzen, um das beherbergende System bereits bei der Voransicht des E-Mail (ohne explizite Ausführung des Attachments) zu infizieren. Auf infizierten Systemen versucht der Wurm sich auf alle verfügbaren Netzwerkressourcen zu kopieren. Neben Netzlaufwerken schließt dies auch Drucker ein, die zwar nicht infiziert werden aber möglicherweise den Binärcode des Wurmes ausdrucken, was zu hohem Verbrauch an Papier führt.

Selbstinstallation
Nach erfolgreicher Infektion eines Systems fügt der Wurm unter folgendem Registry-Key

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
einen Eintrag hinzu und kopiert sich in das System- sowie das Startup-Verzeichnis. Weiterhin Installiert er eine DLL, die Tastatureingaben aufzeichnet. Die aufgezeichneten Daten sendet er per E-Mail an einen entfernten Rechner.

Folgende Dateien werden installiert:

Wobei die Buchstaben x, y, z für zufällig vom Wurm gewählte Buchstaben stehen. Diese Maßnahmen stellen sicher, daß der Wurm nach einem Reboot des beherbergende Rechnersystems erneut gestartet wird.

Ein Thread des Wurmes versucht folgende bekannte Virenscanner und Sicherheitsprogramme zu beenden:

_AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, ACKWIN32.EXE, ANTI-TROJAN.EXE, APVXDWIN.EXE, AUTODOWN.EXE, AVCONSOL.EXE, AVE32.EXE, AVGCTRL.EXE, AVKSERV.EXE, AVNT.EXE, AVP.EXE, AVP32.EXE, AVPCC.EXE, AVPDOS32.EXE, AVPM.EXE, AVPTC32.EXE, AVPUPD.EXE, AVSCHED32.EXE, AVWIN95.EXE, AVWUPD32.EXE, BLACKD.EXE, BLACKICE.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, CLAW95.EXE, CLAW95CF.EXE, CLEANER.EXE, CLEANER3.EXE, DVP95.EXE, DVP95_0.EXE, ECENGINE.EXE, ESAFE.EXE, ESPWATCH.EXE, F-AGNT95.EXE, F-PROT.EXE, F-PROT95.EXE, F-STOPW.EXE, FINDVIRU.EXE, FP-WIN.EXE, FPROT.EXE, FRW.EXE, IAMAPP.EXE, IAMSERV.EXE, IBMASN.EXE, IBMAVSP.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFACE.EXE, IOMON98.EXE, JEDI.EXE, LOCKDOWN2000.EXE, LOOKOUT.EXE, LUALL.EXE, MOOLIVE.EXE, MPFTRAY.EXE, N32SCANW.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVNT.EXE, NAVW32.EXE, NAVWNT.EXE, NISUM.EXE, NMAIN.EXE, NORMIST.EXE, NUPGRADE.EXE, NVC95.EXE, OUTPOST.EXE, PADMIN.EXE, PAVCL.EXE, PAVSCHED.EXE, PAVW.EXE, PCCWIN98.EXE, PCFWALLICON.EXE, PERSFW.EXE, RAV7.EXE, RAV7WIN.EXE, RESCUE.EXE, SAFEWEB.EXE, SCAN32.EXE, SCAN95.EXE, SCANPM.EXE, SCRSCAN.EXE, SERV95.EXE, SMC.EXE, SPHINX.EXE, SWEEP95.EXE, TBSCAN.EXE, TCA.EXE, TDS2-98.EXE, TDS2-NT.EXE, VET95.EXE, VETTRAY.EXE, VSCAN40.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSSTAT.EXE, WEBSCANX.EXE, WFINDV32.EXE, ZONEALARM.EXE.
Der Wurm hat für Window 9x- und Windows NT-basierte Betriebssysteme verschiedene Routinen, um Prozesse zu terminieren, und ist in den meisten Fällen in der Lage, Sicherheits- und Antiviren-Prozesse zu beenden, sofern diese die Infektion des beherbergenden Systems nicht feststellen konnten.

Hintertür
Bugbear installiert eine Hintertür auf Port 36794. Einem Angreifer stellt diese Hintertür eine Web-basierte Schnittstelle zur komfortablen Fernerkundung und -steuerung des infizierten Rechnersystems zur Verfügung. Sie ermöglicht neben dem Browsen durch alle Dateisysteme und Laufwerke auch das Absetzen von Kommandos an das infizierte Rechnersystem. Diese umfassen folgende Funktionalität:

Weiterverbreitung
Bugbear verbreitet sich sowohl als klassischer E-Mail-Wurm als auch über Netzwerkfreigaben weiter.

Gegenmaßnahmen

Speziell zur Beseitigung des 'BugBear/Tanatos'-Wurm stellen einige Anti-Virenhersteller kostenlose Werkzeuge zur Beseitigung zur Verfügung:
Hinweis: Das Funktionieren dieser Werkzeuge wurden durch das RUS-CERT nicht verifiziert.

Generelle Empfehlung (Wh)

Weitere Information zu diesem Thema

Revisionen dieser Meldung

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=974