|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
W95.Xtc.Worm
alias: XTC-Trojan, I-Worm.XTC, W32/Xtc
Typ: 32-Bit.Wurm
Größe: ca. 14 kb
Das Win32.XTC.Worm Virus ist sowohl verschlüsselt als auch gepackt und erschwert Virenschutzprogrammen die
Arbeit damit ganz beträchtlich. Der XTC Wurm ist darüber hinaus ebenso wie der W32.Sonic.Worm ein
Mehrkomponenten-Infektor, also ein Virus, das sich, sobald es sich erfolgreich installieren konnte, beliebig
weitere Komponenten aus dem Web via FTP aber auch INTERNET RELAY CHAT "nachladen" und somit fast uneingeschränkte
Funktionen "updaten" kann. Neben der klassischen Variante sich via eMail selbst zu verschickten, ist der XTC
Virus dazu noch in der Lage sich über freigegebene Festplatten auch in lokalen Netzen zu verbreiten. Gewitzt
tarnt sich das Virus noch dazu als Update einer amerikanischen Virenschutzfirma. Sie erhalten das eMail;
VON: support@avx.com
BETREFF: "AVX update notification"
ATTACHMENT: services.exe
Der Text der eMail lautet auf:
"Hi, We would like to notify you about the newest software designed by SOFTWIN company. This program constantly monitors the net for the newest viral treats and anti-virus databases. In the case some new virus is in-the-wild, it will immediatelly ask you to download the newest version of AntiVirus eXpert 2000 (AVX). It's small, it's efficent, it's secure and powerful. No special licence is needed, it's freeware. We hope you enjoy AntiVirus eXpert and share it with your friends.
Best regards, AVX developement team."
Wird der XTC Wurm gestartet, erzeugt er eine Datei mit dem Namen Services.EXE die er im Windows abspeichert.
Dies ist ein relativ sicheres Indiz für die Anwesenheit des Virus. Klar auch, daß der obligate Eintrag in der
Registry nicht fehlt;
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\XTCUpdate=C:\WINDOWS\SERVICES.EXE
Mit diesem stellt das Virus sicher, daß es auch verläßlich mit dem Rechnerstart aktiviert wird. Interessant
auch, daß das Virus vor PCs auf denen es anti-debugging Software findet, halt macht und nur eine Error-Meldung
verursacht. Möglicherweise hat der Autor diese Routine eingebaut um sich selbst und andere Cracker zu schützen.
Die Palette der möglichen Aktivitäten des XTC Wurms ist sehenswert. Die Funktionen für das Virus umfassen nicht
nur das Verschicken des eigenen Virencodes über alle eMail Adressen, die das Virus in allen *.HTML Dateien
findet, sondern es modifiziert darüber hinaus auch die Startseite im Internet Explorer. Klar, daß damit erst
der eigentliche Startschuß gegeben wurde. Das Virus versucht gleich mit einem IRC Server Verbindung aufzunehmen,
um damit dem mutmaßlichen Autor die Kontrolle über die infizierten Maschine zu ermöglichen.
Das XTC Virus birgt eine Reihe von Möglichkeiten, die sich der Angreifer zu Nutze machen kann. Neben dem Start
einer DDOS (Distributed Denial of Service Attacke) kann der Wurm auch remote an beliebige andere Mailadressen,
die noch nicht auf dem PC abgespeichert sind, verschickt werden. Wie nicht anders zu erwarten, können über den
Wurm-Trojaner auch beliebige Dateien aus dem Internet nachgeladen und ausgeführt werden. Findet das Virus die
entsprechende IRC Software, so kann der Angreifer auf den vollen Funktionsumfang des Chatprogramms zurückgreifen.
Das alle IP Adressen und sonstige Daten abgerufen werden können, gehört ebenso zum Standardrepertoire wie das
Anlegen und löschen von Dateien und Verzeichnissen.
|
|
Linktipps: Download Programme
|
|
|
|
