|
Produkteinformationen
Vorteile
Pressestimmen
Preise
Installation/Download
Vireninformationen
Häufig gestellte Fragen
e-Store
GRATIS: PC Sicherheitspaket
7 Regeln für die Sicherheit Ihres Windows Computers
|
Zusammenfassung
PC-Protection schützt seit 20.1.2005 vor 'Nyxem.e'
Bei Nyxem.e handelt es sich um einen Massenmailwurm, der zudem
versucht, sich über entfernte Freigaben zu verbreiten. Darüber
hinaus versucht der Wurm, Sicherheits- und Filesharing-Programme zu
deaktivieren. Er zerstört zudem bestimmte Dateitypen. Er hat große
ähnlichkeit mit dem vor einigen Tagen entdeckten Schädling
'Email-Worm.Win32.VB.bi'.
Kaufmöglichkeit für PC-Protection:
http://www.telephoenix.com/shop/
Detaillierte Beschreibung für Profis
Installation auf dem System
Nyxem.E ist in Visual Basic geschrieben und als P-Code kompiliert.
Die Größe der ausführbaren Hauptdatei beträgt etwa 95 KB. Bei der
Ausführung kopiert sich der Wurm unter folgenden Namen in
nachstehende Verzeichnisse:
%Windows%\rundll16.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
'%Windows%' steht für das Windows-Installationsverzeichnis. Auf
Windows-Systemen ist dies gewöhnlich der Ordner C:\WINDOWS. '%System%'
steht für das Windows-Systemverzeichnis.
Der Wurm installiert folgende Registrierungsschlüssel, um seinen
eigenen Start bei jedem Systemstart sicherzustellen:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ScanRegistry"
= "%System%\scanregw.exe /scan"
Verbreitung über E-Mails
Der Wurm sammelt E-Mail-Adressen aus Dateien mit folgenden
Erweiterungen:
.HTM
.DBX
.EML
.MSG
.OFT
.NWS
.VCF
.MBX
.IMH
.TXT
.MSF
Er sucht diese Dateien im Cache des Internet Explorers.
Er versendet sich selbst als Anhang in infizierten E-Mails. Mögliche
Betreffzeilen:
The Best Videoclip Ever
School girl fantasies gone bad
A Great Video
Fuckin Kama Sutra pics
Arab sex DSC-00465.jpg
give me a kiss
*Hot Movie*
Fw: Funny :)
Fwd: Photo
Fwd: image.jpg
Fw: Sexy
Re:
Fw:
Fw: Picturs
Fw: DSC-00465.jpg
Word file
eBook.pdf
the file
Part 1 of 6 Video clipe
You Must View This Videoclip!
Miss Lebanon 2006
Re: Sex Video
My photos
Mögliche Nachrichtentexte:
Note: forwarded message attached.
Hot XXX Yahoo Groups
F*ckin Kama Sutra pics
ready to be F*CKED ;)
forwarded message attached.
VIDEOS! FREE! (US$ 0,00)
Please see the file.
>> forwarded message
----- forwarded message -----
i just any one see my photos. It's Free :)
how are you?
i send the details.
OK ?
In der Regel hängt sich der Wurm als ausführbare Datei an
E-Mail-Nachrichten an. Mögliche Anhangnamen:
007.pif
School.pif
04.pif
photo.pif
DSC-00465.Pif
image04.pif
77.pif
New_Document_file.pif
eBook.PIF
do cument.pif
DSC-00465.pIf
Mitunter wird die Datei durch den Wurm Mime-codiert. In diesen
Fällen sind folgende Anhangnamen möglich:
Video_part.mim
Attachments00.HQX
Attachments001.BHX
Attachments[001].B64
3.92315089702606E02.UUE
SeX.mim
Sex.mim
Original Message.B64
WinZip.BHX
eBook.Uu
Word_Document.hqx
Word_Document.uu
Mögliche Dateinamen innerhalb der MIME-Codierung:
New Video,zip .sCr
Attachments,zip .SCR
Atta[001],zip .SCR
Clipe,zip .sCr
WinZip,zip .scR
Adults_9,zip .sCR
Photos,zip .sCR
Attachments[001],B64 .sCr
392315089702606E-02,UUE .scR
SeX,zip .scR
WinZip.zip .sCR
ATT01.zip .sCR
Word.zip .sCR
Verbreitung über freigegebene Verzeichnisse
Der Wurm sucht nach entfernten Freigaben und versucht, sich unter
einem der folgenden Namen dort hinein zu kopieren:
\Admin$\WINZIP_TMP.exe
\c$\WINZIP_TMP.exe
\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip
Quick Pick.exe
Gleichzeitig löscht der Wurm folgende Datei:
\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip
Quick Pick.lnk
Vor der Verbreitung überprüft der Wurm d en entfernten Computer auf
das Vorhandensein bestimmter Verzeichnisse. Sind diese vorhanden,
findet keine Verbreitung statt. Es handelt sich um folgende
Verzeichnisse:
\C$\Program Files\Norton AntiVirus
\C$\Program Files\Common Files\symantec shared
\C$\Program Files\Symantec\LiveUpdate
\C$\Program Files\McAfee.com\VSO
\C$\Program Files\McAfee.com\Agent
\C$\Program Files\McAfee.com\shared
\C$\Program Files\Trend Micro\PC-cillin 2002
\C$\Program Files\Trend Micro\PC-cillin 2003
\C$\Program Files\Trend Micro\Internet Security
\C$\Program Files\NavNT
\C$\Program Files\Panda Software\Panda Antivirus Platinum
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro
\C$\Program Files\Panda Software\Panda Antivirus 6.0
\C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus
Der Wurm legt dieses Verhalten an den Tag, um in einem lokalen
Netzwerk nicht aufzufallen.
Payload
Der Wurm verfügt über eine gefährliche Payload-Routine. An jedem
dritten Tag eines Monats - nachdem die Datei UPDATE.EXE des Wurms
ausgeführt wurde -, zerstört der Schädling auf allen verfügbaren
Laufwerken Dateien mit folgenden Erweiterungen:
*.doc
*.xls
*.mdb
*.mde
*.ppt
*.pps
*.zip
*.rar
*.pdf
*.psd
*.dmp
Der Inhalt der Dateien wird durch folgende Zeichenkette ersetzt: "DATA
Error [47 0F 94 93 F4 K5]".
Der Wurm versucht, verschiedene Sicherheits- und
Filesharing-Programme zu deaktivieren. Er löscht die Werte von
Startschlüsseln der Registrierung, wenn diese folgende Zeichenketten
enthalten:
NPROTECT
ccApp
ScriptBlocking
MCUpdateExe
VirusScan Online
MCAgentExe
VSOCheckTask
McRegWiz
CleanUp
MPFExe
MSKAGENTEXE
MSKDetectorExe
McVsRte
PCClient.exe
PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfw
PCCIOMON.exe
tmproxy
McAfeeVirusScanService
NAV Agent
PCCClient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50
kaspersky
TM Outbreak Agent
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
AVG7_CC
AVG7_EMC
Vet Alert
VetTray
OfficeScanNT Monitor
avast!
DownloadAccelerator
BearShare
Folgende Registrierungsschlüssel sind davon betroffen:
[Software\Microsoft\Windows\CurrentVersion\Run]
[Software\Microsoft\Windows\CurrentVersion\Run]
[Software\Microsoft\Windows\CurrentVersion\RunServices]
Zusätzlich löscht der Wurm im Verzeichnis Program Files (Programme)
Dateien aus folgenden Unterverzeichnissen:
\DAP\*.dll
\BearShare\*.dll
\Symantec\LiveUpdate\*.*
\Symantec\Common Files\Symantec Shared\*.*
\Norton AntiVirus\*.exe
\Alwil Software\Avast4\*.exe
\McAfee.com\VSO\*.exe
\McAfee.com\Agent\*.*
\McAfee.com\shared\*.*
\Trend Micro\PC-cillin 2002\*.exe
\Trend Micro\PC-cillin 2003\*.exe
\Trend Micro\Internet Security\*.exe
\NavNT\*.exe
\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
\Grisoft\AVG7\*.dll
\TREND MICRO\OfficeScan\*.dll
\Trend Micro\OfficeScan Client\*.exe
\LimeWire\LimeWire 4.2.6\LimeWire.jar
\Morpheus\*.dll
über die Windows-Registrierung ermittelt der Wurm die
Installationsverzeichnisse bestimmter Programme und löscht dort
verschiedene Dateien. Betroffen davon sind folgende Programme:
VirusProtect6
Norton AntiVirus
Kaspersky Anti-Virus Personal
Iface.exe
Panda Antivirus 6.0 Platinum
Der Wurm beendet zudem Prozesse, die auf die genannten Verzeichnisse
zugreifen.
Infektionszähler
Der Wurm verfügt über ein e interessante Funktion. Wenn er einen
Computer infiziert, öffnet er einen Webbrowser mit bestimmten Seite.
Der Zähler auf dieser Webseite wird damit erhöht. Derzeit steht der
Zähler fast auf 400.000.
Erkennung
Nyxem.E wird seit der folgenden Aktualisierung von F-Secure und
Safenet Anti-Virus erkannt: [FSAV_Database_Version] Version =
2006-01-20_01
Kaufmöglichkeit unter:
http://www.telephoenix.com/shop/
Bei Fragen unterstützen wir Sie gerne.
Oder bestellen Sie bei uns eine CD für CHF 58.00 mit Updates für ein
Jahr.
http://www.telephoenix.ch/pdf/SafentAntivirusBestellformular.PDF
Oder via Telefon 044 738 61 11
Bitte beachten Sie auch unsere 7 Regeln zur Sicherheit Ihres
Windows PCs:
http://www.telephoenix.ch/safenetantivirus/g/7regeln.htm
|
Anleitung zur Optimierung eines Windows PC:
pdf/OptimierungXP.PDF
Wichtige Produkte:
Windows XP SP 2
PC-Protection
 |
