Web

 

Wurm "Witty" kriecht durch Firewalls, Netsky in neuer Version

23.03.2004

"Witty" heißt ein Wurm, der sich seit dem Wochenende zunehmend verbreitet. Im Gegensatz zu Schädlingen wie "MyDoom" ist er nicht darauf angewiesen, aus einem E-Mail-Anhang heraus aktiviert zu werden. Vielmehr nutzt er Sicherheitslücken der Firewalls "RealSecure" und "BlackIce" des Herstellers ISS (Internet Security Systems). Dort erzeugt er einen Buffer Overflow (Speicherüberlauf), indem er sich als ICQ-Paket tarnt.

Einmal auf dem Rechner eingenistet, verschickt sich Witty selbständig an 20.000 per Zufallsgenerator erzeugte IP-Adressen über den Port 4000. Danach überschreibt er 128 zufällig gewählte Sektoren einer der ersten acht gefundenen Festplatten mit Daten aus dem Hauptspeicher. Das Spielt treibt er so lange, bis alle Daten überschrieben sind. Das funktioniert Antivirenexperten zufolge auf allen 32-Bit-Windows-Versionen ab 95. Anwender von DOS, Linux, Mac-OS, OS/2, UNIX und Windows 3.x sind auf der sicheren Seite.

Für die betroffenen Firewalls hat ISS am 18. März 2004 Patches zur Verfügung gestellt. Experten empfehlen über das Einspielen der Sicherheits-Updates hinaus, grundsätzlich nicht benötigte Dienste wie Telnet oder FTP- und Web-Server zu deaktivieren, um Würmern möglichst wenige Schlupflöcher zu bieten.

Neue Variante von "Netsky" ist aktiv

Ebenfalls Seit dem Wochenende ist auch "Netsky.P" im Umlauf, obwohl der Virenautor von Netsky Anfang März angekündigt hatte, nach Version "K" keine weiteren Würmer freizusetzen (Computerwoche.de berichtete). Netsky.P verbreitet sich über eine eigene SMTP-Engine via E-Mail und über freigegebene Ordner. Dazu sucht die Schadroutine gezielt nach von Tauschbörsen genutzten Ordnernamen die zum Beispiel die Textbestandteile "shared files", "kazaa", "mule", "donkey", "morpheus" oder "lime" enthalten sowie nach bei FTP- und Web-Servern gebräuchlichen Verzeichnissen wie "upload", "download", "htdocs" und "ftp".

Infizierte Nachrichten tragen zufällig generierte Betreffzeilen wie "RE: Encrypted Mail" oder "RE: Mail Authentification". Der Dateianhang will Anwender durch Bezeichnungen wie "Britney Spears cumshot.jpg.exe" oder "XXX hardcore pics.jpg.exe" zum Öffnen der enthaltenen Schadroutine verleiten. Ist die Windows-Funktion "Erweiterung bei bekannten Dateitypen ausblenden" aktiviert, wird dem Anwender vorgegaukelt, es handle sich um JPG-Bilder. Außerdem nutzt Netsky.P eine im März 2001 entdeckte Sicherheitslücke der Internet-Explorer-Varianten 5.01 und 5.5 aus. Wurde für diese Browser der verfügbare Patch nicht installiert, führen sich die infizierten Anhänge automatisch aus, sobald betreffende Mails geöffnet werden.

Netsky.P installiert sich als "FVProtect.exe" in das Windows-Verzeichnis und erzeugt die Datei "userconfig9x.dll", die dann in den Speicher geladen wird. Zusätzlich werden die Dateien "base64.tmp", "zip1.tmp", "zip2.tmp", "zip3.tmp" und "zipped.tmp" angelegt und der Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" der Registrierdatenbank um den Eintrag "Norton Antivirus AV"="%Windir%\FVProtect.exe" ergänzt, durch den der Wurm automatisch beim Windows-Start aktiviert wird.

Antivirenexperten zufolge verbreitet sich Netsky.P sehr schnell. Sie empfehlen dringend, auf keinen Fall Dateianhänge in E-Mails unbekannter Herkunft zu öffnen und das Betriebssystem regelmäßig mit Sicherheits-Updates zu versorgen. Ein kostenloses Removal-Tool für den Wurm findet sich bei Symantec.

"MyDoom" immer noch aktiv

Auch "MyDoom.F" treibt noch sein Unwesen. Nach Angaben des Internet-Dienstleisters Netcraft ist der seit 17. März andauernde Ausfall der Website der RIAA (Recording Industry Association of America) auf eine durch den Wurm koordinierte DDoS-Attacke (Distributed Denial of Service) zurückzuführen. Die RIAA lehnte eine Stellungnahme dazu bislang ab. Die Schadroutine der MyDoom-Variante ist bereits seit Februar dieses Jahres bekannt (Computerwoche.de berichtete)

Andere Versionen von MyDoom nahmen bereits die Website der Unix-Company SCO ins Visier (Computerwoche.de berichtete), ein ebenfalls geplanter Angriff auf das Online-Angebot von Microsoft blieb erfolglos (Computerwoche.de berichtete). (lex)