Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

I-Worm.Swen.A


alias W32.Gibe.F, Win32.HLLM. Gibe2

I-Worm.Swen kommt per HTML-eMail, getarnt als Microsoft Update auf Ihren Rechner. Der Wurm benützt eine bekannte und seit langem behobene Schwachstelle des Microsoft Mailclients womit er sich schon in der Vorschau akivieren kann.

Sind auf dem Rechner alle Patches der letzten Tage installiert kann er nur durch Doppelklick aktiviert werden. Er kopiert sich sofort in das Windows-Verzeichnis mit einem zufälligen Namen und beendet aktive Programme wenn folgende Namen im Prozess vorkommen:

vsstat, vshwin32, vsecomr, vscan, vettray, vet98, vet95, vet32, vcontrol, vcleaner, tds2, tca, sweep, sphinx, serv95, safeweb, rescue, regedit, rav, pview, pop3trap, persfw, pcfwallicon, pccwin98, pccmain, pcciomon, pavw, pavsched, pavcl, padmin, outpost, nvc95, nupgrade, nupdate, normist, nmain, nisum, navw, navsched, navnt, navlu32, navapw32, nai_vs_stat, msconfig, mpftray, moolive, luall, lookout, lockdown2000, kpfw32, jedi, iomon98, iface, icsupp, icssuppnt, icmoon, icmon, icloadnt, icload95, ibmavsp, ibmasn, iamserv, iamapp, gibe, f-stopw, frw fp-win, f-prot95, fprot95, f-prot, fprot, findviru, f-agnt95, espwatch, esafe, efinet32, ecengine, dv95, claw95, cfinet, cfind, cfiaudit, cfiadmin, ccshtdwn, ccapp, bootwarn, blackice, blackd, avwupd32, avwin95, avsched32, avp avnt, avkserv, avgw, avgctrl, avgcc32, ave32, avconsol, autodown, apvxdwin, aplica32, anti-trojan, ackwin32, _avp

Will der User nun eines dieser angegebenen Programme nochmals starten so erhält er die Fehlermeldung "Memory access violation in module kernel32 at (Numer)".

Mit weiteren Pop-Up Fenstern lenkt der Wurm den User vor dem eigentlichen Hintergrundtreiben ab und verschleiert so seine Tätigkeit.


Für den Autostart nach einen Rechner-Neustart sorgt der übliche Registry-Eintrag unter.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "(variabler String)" = "zufälliger Dateiname" autorun

In der Registry werden auch einige umfangreichere Änderungen durchgeführt:

HKEY_CLASSES_ROOT\batfile\shell\open\command
"(Default)" = %Dateiname% "%1" %*

HKEY_CLASSES_ROOT\comfile\shell\open\command
"(Default)" = %Dateiname% "%1" %*

HKEY_CLASSES_ROOT\exefile\shell\open\command
"(Default)" = %Dateiname% "%1" %*

HKEY_CLASSES_ROOT\piffile\shell\open\command
"(Default)" = %Dateiname% "%1" %*

HKEY_CLASSES_ROOT\regfile\shell\open\command
"(Default)" = %Dateiname% showerror

HKEY_CLASSES_ROOT\scrfile\shell\config\command
"(Default)" = %Dateiname% "%1"

HKEY_CLASSES_ROOT\scrfile\shell\open\command
"(Default)" = %Dateiname% "%1" /S

Dateiname = Wurmname

Im Windows-Verzeichnis werden einige Dateien vom Wurm angelegt die unter anderem die eMailadressen des infizierten Rechners beinhalten (Dateiname "GERMS0.DBV"), eine Lister der Remote-Server (Dateiname "SWEN1.DAT") sowie ein Patch-Script (Wurmcode) und ein Config-File für den Wurm mit zufälligem Namen.

Für seine Verbreitung sorgt der integrierte SMTP-Server und somit ist der Wurm nicht auf ein bestimmtes Mailprogramm angewiesen. Die eMailadressen werden aus den Dateien .eml, .wab, .dbx, .mbx und .asp gesucht.

Hat der infizierte Rechner KaZaa (Filesharing) oder IRC (Chat-Client) installiert so verbreitet sich der Wurm auch über diese Programme. In einem Netzwerk oder wenn Sie Laufwerke freigegeben haben kopiert sich der Wurm in das Autostart-Verzeichnis mit einem zufälligen Namen.

In folgende Verzeichnisse kopiert sich der Wurm:

windows\all users\start menu\programs\startup
windows\start menu\programs\startup
winme\all users\start menu\programs\startup
winme\start menu\programs\startup
win95\all users\start menu\programs\startup
win95\start menu\programs\startup
win98\all users\start menu\programs\startup
win98\start menu\programs\startup
document and settings\all users\start menu\programs\startup
document and settings\default user\start menu\programs\startup
document and settings\administrator\start menu\programs\startup
winnt\profiles\all users\start menu\programs\startup
winnt\profiles\default user\start menu\programs\startup
winnt\profiles\administrator\start menu\programs\startup

Sollte auf dem infizierten Rechner das Chatprogramm MIRC installiert sein so verändert der Wurm die Datei "script,ini" um sich selbst bei der nächsten einwahl in den chat selbst zu verbreiten.

Im Temp-Verzeichnis legt der Wurm einen Ordner mit zufälligem Namen an und erstellt darin eine Kopie unter zufälligem Namen seines Wurmcodes. Die Namen sind im Wurm integriert wie z.B:

Virus Generator, Magic Mushrooms Growing, Cooking with Cannabis, Hallucinogenic Screensaver, My naked sister XXX Pictures, Sick Joke, XXX Video, XP update, Emulator PS2, XboX Emulator, Sex HardPorn, Jenna Jameson, 10.000 Serials, Hotmail hacker, Yahoo hacker, AOL hacker, fixtool cleaner removal tool, remover Klez, Sobig, Sircam, Gibe, Yaha, Bugbear installer, upload, warez, hacked, hack, key generator, Windows Media Player, GetRight FTP, Download Accelerator, Mirc, Winamp, WinZip, WinRar, KaZaA, KaZaA media desktop, Kazaa Lite.

Mit dem Registry-Eintrag wird dann dieses Verzeichnis an alle KaZaa-User freigegeben:

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"Dir99" = 012345:C:\WINDOWS\TEMP\(Dateiname)

Damit der User des infizierten Rechners den Wurm nicht manuell per RegEdit entfernen kann wurde der Registryeintrag von RegEdit geändert auf:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System "DisableRegistryTools" = 01 00 00 00

Auch der Registryeintrag für den Explorer wurde verändert:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\explorer\%varabler string%

Dieser variable String könnte folgendes beinhalten:

"Install Item" = (random string used for installed copy of worm in %WinDir%)
"Installed" = ... by Begbie
"Kazaa Infect" = yes
"Mirc Install Folder" = C:\Program Files\mirc
"Unfile" = buzf.qtq
"ZipName" = wqrqgd

Mit einer gefäschten Mapi32-Konfiguration wird der User zur Eingabe folgender Daten aufgefordert:

email From name
login name/password
email address
SMTP server
POP3 server

Eine eigentliche Schadensfunktion hat I-Worm.Swen nicht inkludiert wobei die manuelle Entfernung durch die variablen Dateinamen sowie die geänderten Registryeinträge sehr stark erschwert wird.

Update am 24.09.03:

Um den Registry-Editor wieder starten zu können kopieren Sie bitte folgende Zeilen in eine TXT-Datei und ändern die Dateiendung auf .INF um:

[Version]
Signature="$CHICAGO$"

[DefaultInstall]
AddReg=FixSwen

[FixSwen]
HKCR, "batfile\shell\open\command",,0,"""%1"" %*"
HKCR, "comfile\shell\open\command",,0,"""%1"" %*"
HKCR, "exefile\shell\open\command",,0,"""%1"" %*"
HKCR, "piffile\shell\open\command",,0,"""%1"" %*"
HKCR, "regfile\shell\open\command",,0,"regedit.exe "%1""
HKCR, "scrfile\shell\open\command",,0,"""%1"" %*"
HKCR, "scrfile\shell\config\command",,0,"""%1"" %*"
HKCU, "software\microsoft\windows\currentversion\policies\system","DisableRegistryTools",0,0


Klicken Sie danach mit der RECHTEN MAUSTASTE auf diese Datei und wählen INSTALLIEREN. Diese Datei ändert alle durch durch den Wurm geänderten Einträge wieder auf den normal Zustand und danach sollten Sie wieder alle Programme starten und mit der manuellen Entfernung beginnen können.








Linktipps: FeWo Rügen