Email-Worm.Win32.Nyxem.e

[Ruby]

Die neueste Bedrohung seitens Massenmailwürmern stellt der 'Nyxem.e' dar. Ein eMail Wurm, der versucht sich über entfernte Freigaben zu verbreiten. Er deaktiviert Sicherheits- und Filesharing-Programme und zerstört bestimmte Dateitypen. Es besteht große Ähnlichkeit mit dem bereits vor einigen Tagen entdeckten 'Email-Worm.Win32.VB.bi'.

Die ausführbare Hauptdatei des Nyxem.E beträgt cirka 95 KB. Wird der Wurm ausgeführt, kopiert er sich unter folgenden Namen in die angegebenen Verzeichnisse:

%Windows%\rundll16.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe

'%Windows%' steht für das Windows-Installationsverzeichnis. Auf Windows-Systemen ist dies gewöhnlich der Ordner C:\WINDOWS. '%System%' steht für das Windows-Systemverzeichnis.

Der Wurm installiert folgende Registrierungsschlüssel, um im Systemstart mit aufzustarten:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ScanRegistry" = "%System%\scanregw.exe /scan"

Der Wurm versendet sich selbst als Anhang über eMails.
Er sucht nach entfernten Freigaben und kopiert sich unter folgenden Namen dort hinein:

\Admin$\WINZIP_TMP.exe
\c$\WINZIP_TMP.exe
\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Gleichzeitig löscht der Wurm die Datei:

\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.lnk

Der Wurm zerstört an jedem dritten Tag eines Monats - nachdem die Datei UPDATE.EXE ausgeführt wurde, auf allen verfügbaren Laufwerken Dateien mit folgenden Erweiterungen:

*.doc, *.xls, *.mdb, *.mde, *.ppt.
*.pps, *.zip, *.rar, *.pdf, *.psd, *.dmp.

Der Inhalt der Dateien wird durch folgende Zeichenkette ersetzt:

"DATA Error [47 0F 94 93 F4 K5]".

Der Wurm löscht Startschlüssel der Registry bei bestimmten Zeichenketten und Dateien aus Unterverzeichnissen des Programm-Ordners. Betroffen sind hiervon Filesharings Programme und Antivirus Programme, deren Prozesse ausserdem beendet werden. Der Wurm verfügt über einen Infektionszähler. Hat er einen Rechner infiziert, nimmt er Kontakt zu einer Webseite auf. Der Zähler steht mittlerweile auf ca auf 400.000 infizierten Systemen.

Weitere Informationen hierzu: F-Secure: Nyxem.E

Email-Worm.Win32.VB.bi alias Blackmail, W32/Nyxem-D, Email-Worm.Win32.VB.bi, WORM_GREW.A, W32.Blackmal.E@mm

Please read here: F-Secure Virus Information Pages: VB.bi

[Ruby]

Der 'intelligente' Wurm der Zukunft ist bereits traurige Gegenwart:

Sichtbare Anzeichen:

möglicherweise warnt die eine oder andere Firewall davor, dass

scanregw.exe
Update.exe
Winzip.exe

sich mit dem Internet verbinden wollen, indem sie UDP verwenden.

Files dieser Art werden im Read Only Modus mit System Attributen versehen erstellt:

C:\%WINDIR%\Rundll16.exe
C:\%WINDIR%\system32\scanregw.exe
C:\%WINDIR%\system32\Update.exe
C:\%WINDIR%\system32\Winzip.exe

Der Virus führt das identische Icon von Winzip32 mit sich und hat eine Grösse von 95,690 bytes.

Wer das Attachment öffnet, bekommt ein leers Winzip32 Archiv zu sehen.

Dieser Wurm kann User dazu verführen ihn auszuführen.
Löscht die Dateien von AntiVirus Anwendungen.
Zerstört Dateien beim Wiederaufstarten.
Kann Sicherheits Programme daran hindern im Systemstart aufzustarten.
Erstellt zahllose Registrierungs Einträge.

Manuell gestartet kopiert er sich überall hin in einem infizierten System:

C:\WinZip_Tmp.exe
C:\%WINDIR%\Rundll16.exe
C:\%WINDIR%\system32\scanregw.exe
C:\%WINDIR%\system32\Update.exe
C:\%WINDIR%\system32\Winzip.exe

Er verwendet Active X, meldet sich in Netzwerken als Administrator an und sorgt für ein heilloses Chaos. Dieser Virus ist so kodiert, dass er die eigene veränderte Active X Kontrolle durch Änderungen in der System Registrierung registriert. Durch das Erstellen bestimmter Registrierungseinträge wird diese Kontrolle dann als "sicher" und "digital" signiert betrachtet. Das bedeutet, dass die Systeme nicht mehr erkennen können, wenn sie fremdbestimmt werden. Der Durschnitts User steht damit einem riesigen Problem gegenüber.

Siehe dazu ein Beitrag der FORTINET Forschung.

Our English Speaking Users may want to have a look to the very interesting english Original Report of the FORTI Guard Center about Nyxem, a virus which is coded to register the dropped ActiveX control through changes to the system's registry. By creating special registry entries, the control is considered "safe" and digitally signed." Worms like this will make them much more dangerous in the future. If a worm puts a fake CA certificate on an infected machine, MITM attacks become extremely easy. This will be another big problem for the average user out there.

aus dem Englischen frei übersetzt und kopiert für HijackThis.de von den genannten Seiten.

[Ruby]

An jedem Dritten des Monats wird Email-Worm.Win32.Nyxem.e aktiv und vernichtet 30 Minuten nach dem Start des PCs Teile der aufgefundenen Dateien der gängigsten Formate, um sie durch eine sinnlose Auswahl an Symbolen zu ersetzen. Betroffen sind mehrere hunderttausend Rechner weltweit. Der Wurm erlangt durch spezifische Techniken, wie bereits berichtet, die absolute Herrschaft über einen Rechner oder das Netzwerk in einem Unternehmen.

Eugene Kaspersky, Leiter der Antiviren-Forschung bei Kaspersky Lab:

Ich bitte alle Computer-Anwender, ein paar einfache Schutzmaßnahmen zur Verhinderung einer Infektion durch diesen - und jeden anderen – Wurm zu ergreifen: Aktivieren Sie keine unbekannten, unerwarteten E-Mail-Anhänge, aktualisieren Sie die Antivirus-Signaturen Ihres installierten Viren-Schutzes auf dem PC und führen Sie einen Komplett-Scan Ihres Rechners durch.

Mehr Information hierzu: Computerbase.de

Our English speaking Users may want to have a look here: SpywareInfo.com

[Speedy]

Hi

die österreicher
im ORF Teletext wurde über diesen wurm berichtet und der Link zu Ikarus angelegt.

>> Ikarus <<

Email-Worm.Win32.Nyxem.E

Aliases: W32.Blackmal.E, CME-24

Betroffene Systeme:
Windows 95, Windows 98, Windows NT, Windows 2000, Windows ME, Windows XP, Windows Server 2003

Kurzbeschreibung:
# Mass Mailing Wurm

# Verringert die Sicherheit des Systems

# Verbreitet sich über Netzwerkfreigaben


Aufbau der Email:

Betreff:

*Hot Movie*
A Great Video
Fw:
Fw: DSC-00465.jpg
Fw: Funny
Fw: Picturs
Fw: Real show
Fw: ***.mpg
Fw: ***y
Fwd: Crazy illegal ***!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
School girl fantasies gone bad

Nachrichtentext:

>> forwarded message
forwarded message attached.
Fuckin Kama Sutra pics
hello,
Helloi attached the details.
Hot XXX Yahoo Groups
how are you?
i just any one see my photos.
i send the details.
i send the file.
It's Free
Note: forwarded message attached. You Must View This Videoclip!
Please see the file.
Re: *** Video
ready to be FUCKED
Thank you
The Best Videoclip Ever
the file i send the details
VIDEOS! FREE! (US$ 0,00)
What?

Attachment:

007.pif
04.pif
392315089702606E-02,.scR
677.pif
Adults_9,zip.sCR
Arab *** DSC-00465.jpg
ATT01.zip.sCR
Attachments[001],B64.sCr
Clipe,zip.sCr
document.pif
DSC-00465.Pif
DSC-00465.pIf
DSC-00465.Pif
DSC-00465.pIf
eBook.pdf
eBook.PIF
image04.pif
image04.pif
New Video,zip
New_Document_file.pif
photo.pif
Photos,zip.sCR
School.pif
***,zip.scR
***.mim
Video_part.mim
WinZip,zip.scR
WinZip.BHX
WinZip.zip.sCR
Word XP.zip.sCR
Word.zip.sCR

# Nachdem der Wurm aktiviert wurde, werden die folgenden Dateien erzeugt:

%System%\New WinZip File.exe
%System%\SAMPLE.ZIP
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%Windir%\Rundll16.exe
movies.exe
Zipped Files.exe


# Um den Wurm bei jedem Start von Windows zu aktivieren, wird die zuvor erzeugte Datei scanregw.exe in die Registry eingetragen. Für diese Zweck erzeugt der Wurm den Wert „ScanRegistry“ in dem folgenden Registry Key:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run


# Erzeugt den Wert:

“FullPath“ = „0“

in dem folgenden Registry Key:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Cabi netState

Erzeugt die Werte:

“WebView“ = „0“
“ShowSuperHidden“ = „0“

in dem folgenden Registry Key:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Adva nced


# Löscht die folgenden teilweise Sicherheits-, und AntiVirus bezogenen Registry Einträge, in den folgenden Registry Keys:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

APVXDWIN
avast!
AVG_CC
AVG7_CC
AVG7_EMC
AVG7_Run
Avgserv9.exe
AVGW
BearShare
defwatch
DownloadAccelerator
kaspersky
KAVPersonal50
McAfeeVirusScanService
NAVAgent
OfficeScanNTMonitor
PCCClient.exe
pccguide.exe
PCCIOMON.exe
PccPfw
Pop3trap.exe
rtvscn95
ScanInicio
SSDPSRV
TMOutbreakAgent
Tmproxy
VetAlert
VetTray
Vptray


# Manipuliert die Registry Einträge von AntiViren Programmen um diese funktionsunfähig zu machen.

Davon betroffen sind:

Panda
Symantec
Kaspersky
McAfee
Trend Micro


# Löscht Dateien in den folgenden Ordnern um die jeweiligen Pogramme funktionsuntüchtig zu machen:

Alwil Software\Avast4\*.exe
BearShare\*.dll
DAP\*.dll
Grisoft\AVG7\*.dll
Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
LimeWire\LimeWire 4.2.6\LimeWire.jar
McAfee.com\Agent\*.*
McAfee.com\shared\*.*
Morpheus\*.dll
NavNT\*.exe
Norton Antivirus\*.exe
Symantec\Common Files\Symantec Shared\*.*
Symantec\LiveUpdate\*.*
Trend Micro\Internet Security\*.exe
Trend Micro\OfficeScan Client\*.exe
TREND MICRO\OfficeScan\*.dll
Trend Micro\PC-cillin 2002\*.exe
Trend Micro\PC-cillin 2003\*.exe

Hierbei sind jedoch nicht nur Sicherheits-, und AntiVirus bezogene Programme betroffen, sondern auch File Sharing Programme wie BearShare und LimeWire.


# Beinhaltet einen Webcounter. Dabei ruft der Wurm eine bestimmte Webseite auf, wobei bei jedem mal der Counter auf der Webseite inkrementiert wird.


# Blockiert die Maus und das Keyboard


# An jedem 3.Tag im Monat versucht der Wurm Dateien mit den folgenden Datei Endungen zu überschreiben.

.dmp
.doc
.mdb
.mde
.pdf
.pps
.ppt
.psd
.rar
.xls
.zip

Nachdem die Dateien überschrieben wurde, enthalten sie den Text "DATA Error [47 0F 94 93 F4 F5]".


# Um sich per Email zu verbreiten, sammelt der Wurm Emailadressen aus Dateien mit folgenden Datei Endungen:

.dbx
.eml
.htm
.imh
.mbx
.msf
.msg
.nws
.oft
.txt
.vcf

Sendet Email Nachrichten, welche ein infiziertes Attachment enthalten, an die gesammelten Email Adressen.


# Versucht sich über Netzwerkfreigaben zu verbreiten. Für diesen Zweck erzeugt der Wurm eine zufällige IP Adresse, und versucht sich auf diese zu verbreiten. Dabei ist der Wurm in der Lage, schwache Passwörter zu umgehen. Ist diese Aktion erfolgreich, so wird eine Datei mit dem Namen WINZIP_TMP.EXE plaziert.


Manuelle Entfernung

Um den Wurm manuell zu entfernen, sind die folgenden Schritte notwendig:

Löschen der erzeugten Registry Einträge:

Start > Ausführen
Eingeben des Befehls regedit und bestätigen mit OK

Löschen Sie den Wert:

“ScanRegistry“ = „%System%\scanregw.exe“

in dem folgenden Registry Key:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Nun können Sie den Editor beenden.

hat einen remover, um diesen wurm zu entfernen

Aliases: W32.Blackmal.E, CME-24

Den GRATIS-Remover finden Sie HIER.

Der Wurm wurde erstmals am 17. Jänner gesichtet, seine Verbreitung startete auch am selben Tag, wobei dies bis zum 24. Jänner nur langsam voran ging.

Im Gegensatz zu fast allen anderen Viren und Würmern weist der Nyxem.E jedoch eine Besonderheit auf. Von jedem, vom Wurm infizierten System wird eine Nachricht an einen so genannten „Counter“, also einen Zähler, im Web verschickt. Damit ist es erstmal exakt möglich zu bestimmen wie viele Systeme tatsächlich vom Wurm infiziert wurden.

Was den Nyxem so besonders „gefährlich“ macht ist, dass er im Gegensatz zu den meisten anderen Würmern eine explizite Schadensfunktion aktiviert.

Der Wurm durchsucht am 3. Februar ALLE Festplatten, verbundene Netzwerklaufwerke sowie USB-Sticks und andere Speichermedien des infizierten PC´s oder Servers nach Datein mit der Endung: DOC / XLS / PPT / ZIP / RAR / PDF / MDB und überschreibt die ursprünglichen Inhalte.

Nachdem der Wurm den Start seiner Schadensaktivität an die lokale PC-Zeit knüpft kann es bei falsch eingestellter Zeit schon früher zu Schadensfällen kommen.

In den ersten 10 Tagen seit seines erstmaligem Auftauchens sind erst knapp 800.000 Zugriffe auf den im Wurmcode verweisenden Counter (Zähler) registriert worden.

Ab 25. Jänner (2,5 Millionen gesamte Zugriffe) wurden merklich mehr Zugriffe auf den Counter des Wurmes registriert, welcher zum derzeitigen Zeitpunkt (knapp 15 Millionen gesamte Zugriffe) ungebrochen ist.