Auch nach Aufspielen der 104 KByte großen Datei ist der Rechner nicht geschützt
Der von Microsoft am vergangenen Freitag veröffentlichte Patch gegen die neueste Lücke im Internet-Explorer hat selbst undichte Stellen. Auch nach Installation des Updates ist es möglich, den Rechner anzugreifen.

Voraussetzung dafür bleibt allerdings, dass ein Webserver für die Attacke missbraucht wird und dieser vom Surfer auch angesteuert wird. Das Problem: Wer den Patch installiert hat, ist vor Angriffen durch Aufrufe des ActiveX-Objekts "Adodb.Stream" zwar gefeit, allerdings sind Attacken mit anderen ActiveX-Komponenten wie "Shell.Application" nach wie vor möglich.

Microsoft hat bislang kein Update zur Verfügung gestellt. Ein Schutz ist nur durch das De-Aktivieren von Active Scripting im Internet Explorer möglich. Dies führt jedoch zu Einschränkungen beim Besuch zahlreicher Websites.

Die Lücke im Internet Explorer war vor rund zehn Tagen bekannt geworden. Durch den Besuch von speziell präparierten Websites konnten Surfer ihren eigenen PC unwissentlich mit Viren verseuchen. Möglich war dies durch zwei noch ungepatchte Sicherheitslücken im Internet Explorer. Unter den manipulierten Sites waren auch Präsenzen von Großunternehmen.

Experten hatten Systeme entdeckt, die auf diese Weise infiziert wurden. "Es ist keine Epidemie, aber doch schon vorgekommen", so Alfred Hunger von Symantec damals. Die Manipulation der Webserver war durch eine bisher unbekannte Lücke im Internet Information Server, ebenfalls von Microsoft, möglich. Besucht ein Surfer eine entsprechend manipulierte Website, wird er auf eine russische Site weitergeleitet, wo der schädigende Code dann auf den Rechner geladen wird. Dieser Code öffnet eine "Backdoor" im System des Anwenders, über die Eindringlinge auf den Computer zugreifen können. Für den IIS von Microsoft war bereits seit rund acht Tagen ein Patch verfügbar.

Informationen zu Programmen mit Schadensfunktionen
Erläuterungen der Standardeinträge

--------------------------------------------------------------------------------
Kategorie: Virus-Warnung
Name: W32.Mydoom.M@mm
Alias: W32/Mydoom.o@MM [McAfee]
W32/MyDoom-O [Sophos]
WORM_MYDOOM.M [Trend]
Win32.Mydoom.O [Computer Associates]

Art: Wurm
Größe ca. 28 kB
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing, Netzwerk
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Backdoor
Spezielle Entfernung: Tool
bekannt seit: 26.07.2004

Beschreibung:

W32.Mydoom.M@mm (Mydoom.M) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er lädt und installiert eine Backdoor auf dem infizierten Computer. Damit hat ein Angreifer volle Kontrolle über den infizierten Computer.

Durch die Ausführung des infizierten Anhangs wird ein Computer infiziert. Bei dieser Infektion erzeugt der Wurm folgende Dateien:

%Windir%\java.exe
%Windir%\services.exe

Hinweis:
%Windir% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Die Standardpfade sind C:\Windows oder C:\Winnt.

Mit dem Windows-Registry-Schlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Services" = "%Windir%\services.exe"
"JavaVM" = "%Windir%\java.exe"
wird Mydoom.M beim Systemstart aktiviert.

Außerdem können im infizierten System folgende Dateien angelegt werden:

%Temp%\zincite.log
%Temp%\[zufälligerName].log
Neue E-Mail-Adressen zur Weiterverbreitung werden auf dem infizierten Computer in Dateien mit den Endungen
.adb, .asp, .dbx, .htm, .php, .pl, .sht, .tbb, .txt, .wab gesucht.

Zudem werden weitere E-Mail-Adressen über Suchmaschinen im dem Internet gesucht.

Mydoom.M lädt aus dem Internet eine Backdoor und installiert diese auf dem infizierten Computer. Damit wird TCP-Port 1034 geöffnet.

E-Mail-Verbreitung:

Von:

Betreff:

say helo to my litl friend
click me baby, one more time
hello
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
Nachrichtentext:

Der Nachrichtentext einer infizierten E-Mail variiert. Er wird aus verschiedenen Bausteinen zusammengesetzt. Zudem werden Wörter und Begriffe unterschiedlich verwendet, ohne den Textsinn zu verändern (The oder This oder Your, bzw. undeliverable oder not delivered).

Beispiel:
This message was undeliverable due to the following reason:
Your message was not delivered because the destination server was
unreachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.

Anhang:

Der Name der angehängten Datei wird aus dem Domain-Namen des infizierten Systems generiert. Außerdem kann der Dateiname sein:

readme
instruction
transcript
mail
letter
file
text
attachment
document
message
Der Anhang hat eine cmd, bat, com, exe, pif, scr oder zip Erweiterung. Er kann zusätzlich die Erweiterung doc, txt, htm oder html führen.

Mydoom.M kopiert sich auch in Ordner, die folgenden Namen enthalten:

USERPROFILE
yahoo.com
Entfernung

Wie bei vielen anderen Viren, Würmer oder Trojanischen Pferden, kann der Wurm nicht im laufenden System entfernt werden:

der laufende Prozess blockiert die Datei
Windows schützt das Verzeichnis, in dem sich das Programm befindet
die Systemwiederherstellung von Windows Me/XP stellt die Datei nach dem Löschen wieder her
Zur Entfernung sollte wie folgt vorgegangen werden:

Laden Sie eines der aufgeführten speziellen Entfernungstools.
Symantec (FxMydoom.exe): Direkt-Download oder Download mit englischer Beschreibung
NAI (Stinger.exe): Direkt-Download oder Download mit englischer Beschreibung
Systemwiederherstellung von Windows Me/XP deaktivieren
Start des Computers in den abgesicherten Modus
Durchsuchen Sie mit dem Entfernung-Tool den Computer. Zur Verwendung der Programme müssen Sie Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
infizierte Dateien löschen
Einträge aus der Windows-Registrierung entfernen
normaler Systemstart
Systemwiederherstellung (Me/XP) aktivieren
Achtung:
Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden.

(Erstellt: 27.07.2004)

Quelle:www.bsi.de