Suchen

Spam-Attacke trifft selbst Coca Cola, Google und NASA

Wie sich der E-Mail-Wurm „Here you have“ so erfolgreich verbreiten konnte

Seite: 3/3

Wenn der E-Mail-Wurm richtig loslegt

Ist die besagte .scr-Datei erst einmal ausgeführt, so kopiert sich der Wurm als csrss.exe in das Windows-Verzeichnis – nicht zu verwechseln mit der validen „csrss.exe“ im Windows-Systemverzeichnis. Auch eine weitere Kopie unter dem Namen update.exe wird in dem Windows-Systemverzeichnis abgelegt.

Nun folgen viele weitere Schritte. Zunächst wird die lokale hosts-Datei gelöscht, um dort liegende DNS-Einträge zu verwerfen. Der Wurm versucht dann eine Vielzahl bekannter Prozesse und Dienste diverser Security-Lösungen zu deaktivieren, um sich weiterhin ungestört verbreiten zu können. Anschließend versendet sich der Wurm an alle im Outlook Adressbuch enthaltenen E-Mail-Adressen. Zudem wurde beobachtet, dass der Wurm gespeicherte Kontakte des Yahoo! Messengers (falls vorhanden) als Ziel für weitere E-Mails wählt.

Bildergalerie

Neben dem Versand per E-Mail versucht der Wurm eine Kopie von sich auf offenen Freigaben im Netzwerk abzulegen. Hierbei wird N73.Image12.03.2009.JPG.scr oder {Computername}CV2010.exe als Dateiname benutzt. Sollten am infizierten System Wechselmedien genutzt werden, so wird auf diese eine Kopie als open.exe mit dazugehörigem Autostarteintrag in der Autorun.inf abgelegt, um damit weitere Systeme zu befallen. Desweiteren wird bei einem infizierten System das Verzeichnis %Windows%\System\ unter dem Namen \\{computername}\updates freigegeben.

Aktuelle Bedrohung durch „Here you have“

Offenbar versucht der Wurm eine gewisse Anzahl ausführbarer Dateien aus dem Internet nachzuladen. Jedoch sind diese nicht mehr erreichbar, um eine weitere Analyse durchzuführen. Üblicherweise beinhalten solche Dateien mit einem Echtzeitpacker komprimierte Passwort-Recovery-Programme, die zum Beispiel gespeicherte Passwörter aus Browsern auslesen und diese auf einem zentralen System ablegen – möglicherweise auch Sysinternal-Tools wie PSExec sowie gefährliche hosts-Dateien, die Update-Downloads von Sicherheitslösungen deaktivieren sollen.

Durch die Verlinkung zum Schadcode in der E-Mail konnte der Wurm sich in kurzer Zeit recht schnell verbreiten. Jedoch erwies sich dies innerhalb kurzer Zeit als seine Achillesferse. Der verlinkte Schadcode ließ sich schnell von den Servern entfernen. Somit ist eine weitere Verbreitung per E-Mail (vorerst) nicht mehr möglich. Viele Antivirenhersteller haben inzwischen die für diese Malware geltende Bedrohungsstufe wieder herabgesetzt.

Zusammenfassend lässt sich festhalten, dass altbekannte Methoden der Malware nach einer gewissen Zeit aus dem Sichtfeld der Benutzer verschwinden und somit wieder akut zu einem Risiko werden können. Dies – kombiniert mit aktuellen Sicherheitslücken – kann zu einer großen Gefahr werden. Man stelle sich nur die Folgen vor, wenn der Schadcode keine .scr-Datei sondern ein aktueller Zero-Day-Exploit gewesen wäre.

Inhalt

  • Seite 1: „Here you have“ – kein einfaches Revival
  • Seite 2: Haben E-Mail-Nutzer nichts gelernt?
  • Seite 3: Wenn der E-Mail-Wurm richtig loslegt

(ID:2047173)