|
|
|
#1
01-05-2002, 23:04
|
|||
|
|||
|
Wird WORM_KLEZ.E ausgeführt, dekodiert er seine Daten in den Speicher. Danach kopiert er sich in eine WINK*.EXE im Systemverzeichnis, wobei * für eine zufällige Anzahl von Zeichen steht.
Er erstellt folgenden Registry-Eintrag, mit dem er bei jedem Systemneustart aktiv werden kann: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/ CurrentVersion/Run, Wink*, "wink*.exe Ähnlich dem WORM_KLEZ.A besitzt er verschiedene Verbreitungs- und Schadteilmöglichkeiten: Plazieren des PE_ELKERN.B: PE_ELKERN.B schreibt sich immer wieder in die Datei WQK.EXE in das Systemverzeichnis. Außerdem werden kontinierlich folgende Registry-Einträge vorgenommen: Auf WIN 9x Systemen schreibt sich PE_ELKERN.B in die Datei WQK.EXE in das Systemverzeichnis und erstellt den Registry-Eintrag: HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun, WQK = ô%system%wqk.exeö Auf WIN 2000 Systemen schreibt er sich in die WQK.DLL und erstellt den Registry-Eintrag: HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NT CurrentVersionWindows, AppInit_DLLs = Wqk.dll Beide haben als Attribute: hidden, system sowie read-only. Diese Dateien werden von der TREND MICRO Produktpalette als PE_ELKERN.B detektiert. Infektion via Netzwerk: Über freigegebene Verzeichnisse mit Lese/Schreibzugriff kann eine Verbreitung stattfinden. Dazu scannt der Computerwurm das gesamte Firmennetzwerk nach diesen Verzeichnissen, in die er Kopien von sich mit einer der folgenden Extensionen anlegt: EXE PIF COM BAT SCR RAR Manchmal wird auch eine Doppelextension benutzt, deren erste eine aus der folgenden Liste ist: MP8 EXE SCR PIF BAT TXT HTM HTML WAB DOC XLS CPP C PAS MPQ MPEG BAK MP3 Die zweite wird dann aus diesen gewählt: EXE PIF COM BAT SCR RAR eMail-Verbreitung: Zur Verbreitung benutzt er einen SMTP-Server, den er aus dem Domänen-Namen der eMail-Adresse des Absenders erstellt. Wenn z.B. der Absender any_user@somewhere.com lautet, dann benutzt er smtp.somewhere.com zum versenden der eMail. Er schickt SMTP-Befehle an diesen SMTP-Server um die eMail zu erstellen und zu versenden. Zur Empfänger-Adressen-Gewinnung gibt es verschiedene Möglichkeiten: Windows Adressverzeichnis Extraktion aus folgenden Dateien des infizierten Systems: MP8, EXE, SCR, PIF, BAT, TXT, HTM, HTML, WAB, DOC,.XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK und MP3. Daraus werden die Empfangsadressen generiert. Die Absendeadresse wird aus einer im Wurm enthaltenen Liste gewählt: pw246@columbia.edu queen@helix.com.hk yaya@wfc.com.tw atoz@2911.net anti@helix.com.hk graph@helix.com.hk street@verizon.net sani@2911.net santurn@verizon.net andy@verizon.net little@hitel.net gigi@helix.com.hk bet@helix.com.hk lily@88win.com sun@verizon.net linda@verizon.net raise@wfc.com.tw rainrainman@hongkong.com karala@hongkong.com sammychen@wfc.com.tw flywind@wfc.com.tw suck@wfc.com.tw urlove@wfc.com.tw utu@88win.com cheu@2911.net xyz@2911.net pet@2911.net girl@edirect168.com littlecat@hongkong.com panshugang@chinese.com pipti@21cn.com certpass@21cn.com powerhero@263.net CR7269CH@terra.es RUBENSOTOAGUI@terra.es ACAMDR@terra.es ROSANAMOLTO@terra.es MANUEL23@terra.es christian_soto@terra.es carlos_nuevo@terra.es Die Betreffzeile der eMail wird aus einer Liste ausgewählt: · how are you · let s be friends · darling · don t drink too much · your password · honey · some questions · please try again · welcome to my hometown · the Garden of Eden · introduction on ADSL · meeting notice · questionnaire · congratulations · japanese girl VS playboy · look,my beautiful girl friend · eager to see you · spice girls vocal concert · japanese lass sexy pictures Der Text im entschlüsselten Wurm: Win32 Klez V2.0 & Win32 Elkern V1.1, (There nickname is Twin Virus *^__^* Copyright, made in Asia, announcement: 1. I will try my best to protect the user from vicious virus, Funlove,Sircam,Nimda,Codered, and even include W32.Klez.1.X 2. Well paid jobs are wanted. 3. Poor life should be unblessed. 4. Don"t accuse me, please accusse the unfair sh*t world. Dann wird ein HTML-formatiertes eMail generiert mit zufällig erstelltem Attachmentnamen. Das empfangene eMail muiss nicht aktiv geöffnet werden! Es wird eine bekannte Sicherheitslücke von IE-basierten eMail-Clients genutzt (Automatic Execution of Embedded MIME type), die es ermöglicht, Attachments automatisch zu öffnen. Das Attachment erscheint als audio/x-wav oder audio/x-midi, d.h. beim Öffnen startet ein Audio-Player. Deaktivierung von AV-Programmen: Der Computerwurm beendet Prozesse - in einigen Fällen löscht er die Ausführdateien von Programmen mit folgenden Namen, oder u.a. strings: _AVP32 _AVPCC NOD32 NPSSVC NRESQ32 NSCHED32 NSCHEDNT NSPLUGIN NAV NAVAPSVC NAVAPW32 NAVLU32 NAVRUNR NAVW32 _AVPM ALERTSVC AMON AVP32 AVPCC AVPM N32SCANW NAVWNT ANTIVIR AVPUPD AVGCTRL AVWIN95 SCAN32 VSHWIN32 F-STOPW F-PROT95 ACKWIN32 VETTRAY VET95 SWEEP95 PCCWIN98 IOMON98 AVPTC AVE32 AVCONSOL FP-WIN DVP95 F-AGNT95 CLAW95 NVC95 SCAN VIRUS LOCKDOWN2000 Norton Mcafee Antivir TASKMGR2 Folgende Dateien werden gelöscht, falls sie auf dem infizierten System gefunden werden: ANTI-VIR.DAT CHKLIST.DAT CHKLIST.MS IVB.NTZ SMARTCHK.MS SMARTCHK.CPS AVGQT.DAT AGUARD.DAT Verschleierung: Auf WIN 95/98 Systemen registriert sich der Wurm als Serviceprozess, so daß er nicht in der Task-Leiste erscheint. Auf WIN 2000 Systemen registriert er sich als sog. Service Control Dispatcher. Wichtig: WORM_KLEZ.E läuft nicht auf NT 4.0 Systemen, oder ihren Vorgängern!
__________________
|
Hybrid-Darstellung
