|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.Tanatos
alias Tanat, Tanatos, Natosta.A, Worm_Natosta.A, W32.Bugbear@mm, W32.Tanatos
Der vermutlich aus Malaysia stammende, 50.688 (wenn UPX komprimiert) bzw. 50.644 bytes große Wurm nutzt altbewährte Strategien um sich zu verbreiten. Der Wurm ist dabei auf allen gängigen Microsoft-Plattformen lauffähig. (W95,W98,ME,NT/2000/XP).
Wenig überraschend verbreitet sich auch dieser Wurm via eMail, ist dabei aber nicht wie andere Würmer auf MS-Outlook angewiesen sondern verschickt über seinen eigenen SMTP Server den er im Code mit sich führt. Die eMail Adressen dafür sucht sich der Wurm aus INBOX Verzeichnissen von Webbrowsern sowie aus allen ODS, MMF, NCH, MBX, EML, TBB und DBX Dateien. Also Dateien in denen eMail-Adressen abgelegt sind.
Darüber hinaus nutzt das Virus schon bekannte Exploits um sich in "ungepachten" Outlook bzw. IntenetExplorer 5.0/5.01 schon durch das alleinige Betrachten (Autovorschau) zu aktivieren.
Dieser Exploit ist seit längerem bekannt. Der entsprechende Patch findet sich auf
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
und wird von Antivirenherstellern DRINGEND empfohlen.
Alten Mustern folgt auch die Strategie die Attachements die der Wurm verschickt mit einer Doppel-Endung zu versehen.
Die doppelte Endung (also die Dateitypenbezeichnung am Ende) lautet dabei immer auf .PIF, .EXE oder .SCR.
Die erste "Endung" kann sich schon aus mehreren Dateitypen generieren:
.reg .ini .bat .h .diz .txt .cpp .c .html .htm
.jpeg .jpg .gif
Also zum Beispiel xxxx.bat.scr; stehen Sie jedem Attachment mit Doppeldateiendung grundsätzlich Misstrauisch gegenüber. Am besten Sie löschen diese Dateianhänge sofort.
Neu ist, dass der Wurm auch in der Lage ist den Content-Typ eines infizierten Attachments in einen der folgende Dateitypen zu ändern;
image/gif
image/jpeg
application/octet-stream
text/plain
text/html
damit ist der Wurm in der Lage Antivirenprogramme unter Umständen zu täuschen.
Wenn es Ihm nicht ohnehin schon gelungen ist, das installierte Virenschutz- oder Firewallprogramm zu deaktivieren. Wie andere Viren vor ihm, sucht der BugBear-Wurm nach installierten Virenschutz/Firewallkomponenten um diese zu DEINSTALLIEREN bzw. zu LÖSCHEN !! (siehe Ende des Textes)
Der Wurm kopiert sich selbst in das Autostart-Verzeichnis um beim nächsten Systemstart wieder aktiv zu werden.
Die Verzeichnise lauten:
C:\WINDOWS\Start Menu\Programs\Startup\filename.exe (Windows 98)
C:\Documents and Settings\(username)\Start Menu\Programs\Startup\ (Win2k)
Der Wurm beschränkt sich jedoch nicht alleine darauf sich zu verbreiten. So verfügt er über eine eigen DLL die es im erlaubt eine KEY-LOGGING Funktion zu aktivieren. Sollte der Port 36794 dabei NICHT gesperrt sein ist auch ein Remote-Zugriff auf die befallenen Systeme möglich.
Diese DLL und eine weitere DLL kopiert der Wurm unter selbst generierten (zufälligen) Dateinamen in das Windows\System (Windows 98) bzw. Windows\System32 (Win2k) Verzeichnis. Die Namen die das Virus dabei verwendet, werden jedes Mal neu generiert, was es unmöglich macht das Virus "gezielt" nach Namen der von Ihm angelegten Dateien zu suchen. 2 weitere DAT Dateien legt der Wurm direkt ins Windows Root Verzeichnis in denen er verschlüsselte Daten abspeichert.
Einzig der obligate Eintrag in die Registry ist ein sicheres Indiz für das Vorhandensein des Wurms:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Runonce
Tipp vom Virendoktor:
Wir empfehlen mit Nachdruck keine Attachments mit der Endung EXE, PIF oder SCR zu starten, von denen nicht sicher gestellt ist, welche Aktionen sie tatsächlich auslösen.
Stehen Sie JEDEM ausführbaren Dateianhang kritisch gegenüber! Löschen Sie Attachments im Zweifelsfall. Starten Sie keine Attachments ohne diese vorher auf Viren geprüft zu haben.
Aktivieren Sie wenn möglich einen eMail Filter, der Attachments, die Executables enthalten, abblockt bzw. in eigens dafür vorgesehene Quarantänebereiche stellt.
Ein Update Ihres Virenschutzprogammes ist empfehlenswert.
Manuelle Entfernung:
1. Beenden Sie den Task des EXE-Files das vom Virenscanner als "I-Worm.Tanatos" erkannt wird.
2. Löschen Sie die alle Dateien die vom Virenscanner als "I-Worm.Tanatos" identifiziert werden
3. Löschen Sie den Registry-Eintrag
Danach sollte Ihr PC wieder virenfrei sein.
AV/Firewall Programme die vom Wurm gelöscht oder deaktiviert werden:
AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
|
|
Linktipps: Hotels Rewal
|
|
|
|
