Thema: Klez-Virus und Board-Nicks...
Einzelnen Beitrag anzeigen
  #18  
Alt 01-05-2002, 23:04
BBMV BBMV ist offline
Havocs Schuhputzer

  
Registriert seit: Apr 2001
Beiträge: 456
BBMV hat noch keine Bewertung oder ist auf 0
BBMV eine Nachricht über ICQ schicken
Wird WORM_KLEZ.E ausgeführt, dekodiert er seine Daten in den Speicher. Danach kopiert er sich in eine WINK*.EXE im Systemverzeichnis, wobei * für eine zufällige Anzahl von Zeichen steht.

Er erstellt folgenden Registry-Eintrag, mit dem er bei jedem Systemneustart aktiv werden kann:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/
CurrentVersion/Run, Wink*, "wink*.exe

Ähnlich dem WORM_KLEZ.A besitzt er verschiedene Verbreitungs- und Schadteilmöglichkeiten:

Plazieren des PE_ELKERN.B:

PE_ELKERN.B schreibt sich immer wieder in die Datei WQK.EXE in das Systemverzeichnis. Außerdem werden kontinierlich folgende Registry-Einträge vorgenommen:

Auf WIN 9x Systemen schreibt sich PE_ELKERN.B in die Datei WQK.EXE in das Systemverzeichnis und erstellt den Registry-Eintrag:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun, WQK = ô%system%wqk.exeö

Auf WIN 2000 Systemen schreibt er sich in die WQK.DLL und erstellt den Registry-Eintrag:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NT
CurrentVersionWindows, AppInit_DLLs = Wqk.dll


Beide haben als Attribute: hidden, system sowie read-only. Diese Dateien werden von der TREND MICRO Produktpalette als PE_ELKERN.B detektiert.

Infektion via Netzwerk:

Über freigegebene Verzeichnisse mit Lese/Schreibzugriff kann eine Verbreitung stattfinden. Dazu scannt der Computerwurm das gesamte Firmennetzwerk nach diesen Verzeichnissen, in die er Kopien von sich mit einer der folgenden Extensionen anlegt:

EXE
PIF
COM
BAT
SCR
RAR
Manchmal wird auch eine Doppelextension benutzt, deren erste eine aus der folgenden Liste ist:

MP8
EXE
SCR
PIF
BAT
TXT
HTM
HTML
WAB
DOC
XLS
CPP
C
PAS
MPQ
MPEG
BAK
MP3
Die zweite wird dann aus diesen gewählt:

EXE
PIF
COM
BAT
SCR
RAR
eMail-Verbreitung:

Zur Verbreitung benutzt er einen SMTP-Server, den er aus dem Domänen-Namen der eMail-Adresse des Absenders erstellt. Wenn z.B. der Absender any_user@somewhere.com lautet, dann benutzt er smtp.somewhere.com zum versenden der eMail. Er schickt SMTP-Befehle an diesen SMTP-Server um die eMail zu erstellen und zu versenden.

Zur Empfänger-Adressen-Gewinnung gibt es verschiedene Möglichkeiten:

Windows Adressverzeichnis

Extraktion aus folgenden Dateien des infizierten Systems: MP8, EXE, SCR, PIF, BAT, TXT, HTM, HTML, WAB, DOC,.XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK und MP3. Daraus werden die Empfangsadressen generiert.
Die Absendeadresse wird aus einer im Wurm enthaltenen Liste gewählt:

pw246@columbia.edu
queen@helix.com.hk
yaya@wfc.com.tw
atoz@2911.net
anti@helix.com.hk
graph@helix.com.hk
street@verizon.net
sani@2911.net
santurn@verizon.net
andy@verizon.net
little@hitel.net
gigi@helix.com.hk
bet@helix.com.hk
lily@88win.com
sun@verizon.net
linda@verizon.net
raise@wfc.com.tw
rainrainman@hongkong.com
karala@hongkong.com
sammychen@wfc.com.tw
flywind@wfc.com.tw
suck@wfc.com.tw
urlove@wfc.com.tw
utu@88win.com
cheu@2911.net
xyz@2911.net
pet@2911.net
girl@edirect168.com
littlecat@hongkong.com
panshugang@chinese.com
pipti@21cn.com
certpass@21cn.com
powerhero@263.net
CR7269CH@terra.es
RUBENSOTOAGUI@terra.es
ACAMDR@terra.es
ROSANAMOLTO@terra.es
MANUEL23@terra.es
christian_soto@terra.es
carlos_nuevo@terra.es
Die Betreffzeile der eMail wird aus einer Liste ausgewählt:

· how are you
· let s be friends
· darling
· don t drink too much
· your password
· honey
· some questions
· please try again
· welcome to my hometown
· the Garden of Eden
· introduction on ADSL
· meeting notice
· questionnaire
· congratulations
· japanese girl VS playboy
· look,my beautiful girl friend
· eager to see you
· spice girls vocal concert
· japanese lass sexy pictures


Der Text im entschlüsselten Wurm:

Win32 Klez V2.0 & Win32 Elkern V1.1, (There nickname is Twin Virus *^__^*
Copyright, made in Asia, announcement:
1. I will try my best to protect the user from vicious virus, Funlove,Sircam,Nimda,Codered, and even include W32.Klez.1.X
2. Well paid jobs are wanted.
3. Poor life should be unblessed.
4. Don"t accuse me, please accusse the unfair sh*t world.


Dann wird ein HTML-formatiertes eMail generiert mit zufällig erstelltem Attachmentnamen.

Das empfangene eMail muiss nicht aktiv geöffnet werden! Es wird eine bekannte Sicherheitslücke von IE-basierten eMail-Clients genutzt (Automatic Execution of Embedded MIME type), die es ermöglicht, Attachments automatisch zu öffnen. Das Attachment erscheint als audio/x-wav oder audio/x-midi, d.h. beim Öffnen startet ein Audio-Player.

Deaktivierung von AV-Programmen:

Der Computerwurm beendet Prozesse - in einigen Fällen löscht er die Ausführdateien von Programmen mit folgenden Namen, oder u.a. strings:

_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN
VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR2
Folgende Dateien werden gelöscht, falls sie auf dem infizierten System gefunden werden:

ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT
Verschleierung:

Auf WIN 95/98 Systemen registriert sich der Wurm als Serviceprozess, so daß er nicht in der Task-Leiste erscheint. Auf WIN 2000 Systemen registriert er sich als sog. Service Control Dispatcher.

Wichtig:

WORM_KLEZ.E läuft nicht auf NT 4.0 Systemen, oder ihren Vorgängern!
__________________
Mit Zitat antworten