[HaBo]

Rushjo

Anzeige

Wie news.com.com in der aktuellen Ausgabe heute berichtet,
haben AntiViren-Spezialisten entdeckt, das die Authoren der Würmer MyDoom,
Bagle und NetSky sich über im Code versteckte Messages unterhalten würden. So
enthält der Wurm Bagle J folgenden Text:

MyDoom G, der am gleichen Tag released wurde wie bagle J enthält folgenden
Text, der direkt an den Author von NetSky adressiert ist.

Die Antwort des Authors von NetSky in der folgenden Variante lautete:

Dazum meint Graham Cluley ( a senior technology consultant at antivirus company
Sophos), das die Authoren von Bagle und MyDoom scheinbar nicht so glücklich da-
rüber sind, das nun NetSky die gesamten Schlagzeilen bekommt. Weiterhin sollten
die Authoren sich lieber auf einem normalen Board bekriegen als auf diese "bescheuerte"
Art. Wie Vincent Gullotto( a vice president in the antivirus and vulnerability
emergency response team at Network Associates) berichtet, sind Mittwoch morgen
wiederum neue Varianten aufgetreten und zwar: Bagle.K, Bagle.L and MyDoom.H.

Also, das ist schon eine interessante Art mit einander zu kommunizieren. Hätte ein-
faches eMail schreiben nicht auch gereicht??

[1] Quelle, news.com.com (english)
[2] Quelle, TheRegister.co.uk (english)

MfG Rushjo

Sven

Rushjo, warum einfach, wenns auch kompliziert geht?

so ein kleiner smaltalk über selbst geschriebene progis is doch immer lustig

mfg
Sven

__________________
Mein Portfolio
Meine Fotogalerie
best view with open eyes

Jadawin

Naja wenn die da so weiter mache schaukelt sich das auf. Und dann will der eine mehr schlagzeilen als der andere und zum schluss wird evtl. einer von beiden irgendwas kaputt machen und seis nur ne HDD.

Dann gibts kaos pur!!!

Flexball

ist doch geil, hätte nicht gedacht dass die coder auch noch an so was denken!!!

sieben

Bagle.J/Beagle.J scheinen doch ein bisschen Aufmerksamkeit zu bekommen, zumindest hat RUS-CERT auch mal wieder eine Warnung rausgepustet, auch wenn da wohl eher ein trauriger Beweis ist das da draussen nur noch lernresistente rumlaufen.


[MS/Windows] Bagle.J/Beagle.J verbreitet sich
Date: 2004-03-04 15:13:03
From: "RUS-CERT (Oliver Goebel)" <unattended@Lists.CERT.Uni-Stuttgart.DE>
To: Ticker@Lists.CERT.Uni-Stuttgart.DE

[MS/Windows] Bagle.J/Beagle.J verbreitet sich
(2004-03-03 23:11:30.57312+01)
Quelle: http://www.symantec.com/avcenter/ven...eagle.j@mm.htm
l

Die 'J'-Version des Bagle/Beagle-Wurms verbreitet sich derzeit per
E-Mail. Der Wurm fälscht Absenderadressen und formatiert die Nachricht
so, daß sie zum Absender paßt. Im Anhang befindet sich eine
verschlüsselte ZIP-Datei, deren Paßwort in der Nachricht enthalten
ist. Weitere Verbreitungswege sind P2P-Netzwerke, wie Kazaa und iMesh.

Betroffene Systeme
* Windows 95, 98, Me
* Windows NT, 2000
* Windows XP
* Windows Server 2003

Einfallstor
* Verschlüsselte ZIP-Datei als Anhang einer E-Mail-Nachricht
* P2P-Netzwerke

Auswirkung
* Massives Versenden infizierter Nachrichten an Adressen, die auf
dem infizierten System gefunden werden.
* Verbreitung über P2P-Netzwerke, in dem eine Kopie des Wurmes in
die jeweiligen share-Verzeichisse unter einem gefälschten
Dateinamen abgelegt wird.
* Öffnen einer Hintertür auf Port 2745. Diese kann von einem
Angreifer dazu ausgenutzt werden, beliebige Dateien in das
%Windir%-Verzeichnis zu kopieren, die dort unter dem Namen
%Windir%\iuplda<x> abgelegt werden, wobei <x> ein zufälliger
String ist.
* Der Wurm versucht, verschiedene Antivirusprogramme zu beenden.

Klasse
E-Mail-Wurm

Gefahrenpotential
mittel bis hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
Bagle/Beagle.J ist eine Variante des Bagle/Beagle.A-Wurmes und
verbreitet sich derzeit per E-Mail. Der Wurm ist dabei in einer
verschlüsselten ZIP-Datei im Anhang der Nachricht enthalten und
unterläuft so die gängigen Antivirusprogramme, die Nachrichten und
Anhänge auf bestimmte Muster des Wurm-Codes (sog. Signaturen) hin
untersuchen. Die Nachricht selbst enthält einen Text, der auf den
ersten Blick gut zur gefälschten Absenderadresse paßt und das Paßwort
für den Anhang bereitstellt. Öffnet der gutgläubige Benutzer den
Anhang, wird das beherbergende Rechnersystem infiziert.

Charakteristika
* Verbreitung über E-Mail
Bagle/Beagle.J fälscht Absenderaddressen so, daß sie für die
Empfänger der Nachrichten auf den ersten Blick plausibel aussehen:
der DNS-Domainname des Empfängers wird mit folgenden local-Parts
kombiniert:
+ management@<Empfänger-Domainname>
z.B.: management@Uni-Stuttgart.DE
+ administration@<Empfänger-Domainname>
+ staff@<Empfänger-Domainname>
+ noreply@<Empfänger-Domainname>
+ support@<Empfänger-Domainname>
Folgende Betreff-Zeilen (Subject verwendet der Wurm:

* E-mail account disabling warning.
* E-mail account security warning.
* Email account utilization warning.
* Important notify about your e-mail account.
* Notify about using the e-mail account.
* Notify about your e-mail account utilization.
* Warning about your e-mail account.

Die Nachrichten selbst bestehen derzeit aus den folgenden
Textbausteinen:
Anrede:
* Dear user of <Empfänger-Domainname>,
z.B.: Dear user of <Uni-Stuttgart.DE>,
* Dear user of <Empfänger-Domainname> gateway e-mail server,
* Dear user of e-mail server "<Empfänger-Domainname>",
* Hello user of <Empfänger-Domainname> e-mail server,
* Dear user of "<Empfänger-Domainname>" mailing system,
* Dear user, the management of <Empfänger-Domainname> mailing system
wants to let you know that,

Danach folgt einer der folgenden Abschnitte:
* Your e-mail account has been temporary disabled because of
unauthorized access.
* Our main mailing server will be temporary unavaible for next two
days, to continue receiving mail in these days you have to
configure our free auto-forwarding service.
* Your e-mail account will be disabled because of improper using in
next three days, if you are still wishing to use it, please,
resign your account information.
* We warn you about some attacks on your e-mail account. Your
computer may contain viruses, in order to keep your computer and
e-mail account safe, please, follow the instructions.
* Our antivirus software has detected a large ammount of viruses
outgoing from your email account, you may use our free anti-virus
tool to clean up your computer software.
* Some of our clients complained about the spam (negative e-mail
content) outgoing from your e-mail account. Probably, you have
been infected by a proxy-relay trojan server. In order to keep
your computer safe, follow the instructions.

Schließlich folgt eine Zeile, die darauf hinweist, daß in der Datei im
Anhang Details bzw. weitere Information zu finden ist und der Hinweis,
daß diese Datei aus Sicherheitsgründen verschlüsselt wurde. Das
Paßwort wird ebenfalls angegeben.

Verbreitung über P2P-Netzwerke
Wenn der Wurm ein Rechnersystem infiziert, kopiert er sich in
Verzeichnisse, deren Namen den String "shar" enthalten. Solche
Verzeichnisse werden von File-Sharing-Software wie Kazaa und iMesh
verwendet. Die Kopien des Wurms tragen dabei einen der folgenden
Namen:
* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Ahead Nero 7.exe
* Matrix 3 Revolution English Subtitles.exe
* Microsoft Office 2003 Crack, Working!.exe
* Microsoft Office XP working Crack, Keygen.exe
* Microsoft Windows XP, WinXP Crack, working Keygen.exe
* Opera 8 New!.exe
* Porno pics arhive, xxx.exe
* Porno Screensaver.scr
* Porno, sex, oral, anal cool, awesome!!.exe
* Serials.txt.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* Windows Sourcecode update.doc.exe
* XXX hardcore images.exe

Aliases
* W32/Bagle.j@MM
* W32.Beagle.J@mm

Gegenmaßnahmen

Die Verschlüsselung stellt sicher, daß der Wurm selbst im Attachment
nicht von Antivirusprogrammen erkannt werden kann, da der Schlüssel
zufällig gewählt wird. Antivirenprogramme können daher nur nach den
begleitenden Nachrichten bzw. auf infizierten Systemen nach dem
unverschlüsselten Wurm suchen.
* Entfernung des Wurmes:
Einige Hersteller von Antivirensoftware bieten kostenlos
Entfernungswerkzeuge an:
+ McAfee: [2]Stinger
* Aktualisierung der Signaturdateien von Antivirussoftware:
+ [3]McAfee:EXTRA.DAT
+ [4]McAfee:SUPER EXTRA.DAT

Generelle Empfehlung (Wh)
* Führen Sie keinerlei Attachments aus, die Sie per E-Mail
erhalten[5]1) haben, egal woher! Auch Hinweise in den Nachrichten,
wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor
Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach
wie vor ein gesundes Mißtrauen des Benutzers.
* Kein ernstzunehmender Hersteller von System- oder
Antivirussoftware verschickt Werkzeuge zur Entfernung
irgendwelcher Malware, Updates oder Patches per E-Mail. Auch das
RUS-CERT tut dergleichen nicht. Sollten Sie also eine solche
Nachricht erhalten, können Sie davon ausgehen, daß es sich um eine
gefälschte Nachricht handelt.
* Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie
automatisierte Update-Dienste in Anpruch, wenn möglich.

1) Dies gilt insbesondere für Nachrichten mit Attachments, die
unerwartet eintreffen und nicht einer plausiblen
Kommunikationsbeziehung, z.B. im Rahmen eines Projektes, bei dem
Dokumente ausgetauscht werden, zuzuordnen sind. Allerdings ist auch
hier Sorgfalt geboten, einige Würmer produzieren Nachrichten, die den
Anschein erwecken sollen, zu einer solchen Beziehung zu gehören.

Credits
* Wir danken Christoph Fischer (BFK edv-consulting GmbH) für
Anregungen.

Aktuelle Version dieses Artikels
[6]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1182

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright ? 2004 RUS-CERT, Universität Stuttgart,
[7]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/...ehrdungsstufen
2. http://vil.nai.com/vil/stinger/
3. http://a64.g.akamai.net/7/64/2015/20...rt/101071b.zip
4. http://a64.g.akamai.net/7/64/2015/20...rt/101071b.exe
5. http://CERT.Uni-Stuttgart.DE/ticker/...mid=1182#foot1
6. http://CERT.Uni-Stuttgart.DE/ticker/...e.php?mid=1182
7. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE

__________________
Diese Zeile ist reserviert für Clark Kent.

Rushjo

Wie die englisch-sprachige Online-Zeitschrift "The Register" heute berichtet, hat der
Author von "NetSky" in der neusten Variante des Wurms NetSky K (aka NetSky J)
wiederum eine Nachricht hinterlassen. Dies lautet:

Damit teilt er Seinen Abschied mit, was scheinbar heissen soll, das es keine weiteren
NetSky Würmer mehr geben wird, aber nicht heisst, das er keine anderen, neuen
Würmer produziert. Weiterhin kündigt er auch die Veröffentlichung des SourceCodes
von NetSky an. AV-Firmen glauben dies noch nicht so wirklich und wollen erstmal
abwarten, ob der Author wirklich sein Wort hält. Eventuell könnte das Ganze auch
nur ein "Trick" zur Vorbereitung eines noch grösseren "Übels" sein.

Das bleibt alles abzuwarten, aber wirklich interessant wäre der SourceCode des
Wurms. Obwohl es dann wieder die Gefahr gibt, das irgendwelche Script-Kiddies
den Source leicht verändern und eine Flut von neuen Würmer releasen.

[1] Quelle, TheRegister.co.uk (english)

MfG Rushjo

silent

tja, die autoren gehen ja unter umständen auch ein
großes risiko ein wenn sie andaernd neue varianten
losschicken.
oder unser lieber netsky autor hat nen zeitaufwendigen job
gefunden *gg*

ne, aber nen bisschen komisch kommt es schon wenn ein
autor auch noch bekannt gibt das er von nun an keine
neuen varianten seines wurmes versendet.

naja,

silent

Rushjo

Wie TheRegister heute nachmittag gegen 14:00 Uhr berichtete, sind zwei
neue Varianten des NetSky-Wurms aufgetaucht. Diese werden von den AV-Firmen
unter Bezeichnung NetSky-L und NetSky-M geführt. Sie unterscheiden sich aber
"signifikant" von den anderen 11 Vorgängern, sodass es möglicherweise die Arbeit
von Nachahmungstätern ist, unter Umständen mit Hilfe der angekündigten Veröffentlichung
des Original-NetSky-Source. Aber bisher konnen Sicherheitsexperten die Existenz
der Quellcodes im Internet noch nicht bestätigen, sodass unter Umständen sich der
unbekannte NetSky-Wurm-Author auch nur einen "Spass" erlaubt. Auch enthalten
die beiden neuen Varianten keinerlei Nachricht im Quelle, wie z.B. NetSky K, noch
Verbindungen zu Skynet und versuchen auch nicht den Wurm "Bagle" von infizierten
Rechner zu entfernen, wie es die vorherigen Varianten machten. Der neue Wurm
NetSky L wird als niedrig gefährlich, da es sich nur sehr langsam verbreitet und der
NetSky M ist sogar noch seltener.

Insgesamt ergibt das aber noch kein klares Bild, ob es nun Nachahmungstäter sind
oder ob der Original-NetSky-Author nur "Katz und Maus" mit den AV-Firmen spielen
will.

[1] Quelle, TheRegister.co.uk (english)

MfG Rushjo