Detaillierte Informationen zu W32/Swen

Software

Nachfolgend einige detaillierte Informationen zu W32/Swen, auch bekannt unter dem Namen W32/Gibe-F. Dieser Wurm verbreitet sich rasend schnell im Internet und tarnt sich dabei als Microsoft Patch. Die Infos stammen von Sophos.de:

W32/Gibe-F ist ein Wurm, der sich verbreitet, indem er sich mit seiner eigenen SMTP-Engine per E-Mail an Adressen versendet, an die er aus verschiedenen Quellen auf den Laufwerken des Opfers (z. B. MBX- und DBX-Dateien) gelangt. Der Wurm verbreitet sich außerdem, indem er sich in die freigegebenen Ordner des KaZaA-Peer-to-Peer-Netzwerks kopiert, und über IRC-Kanäle. W32/Gibe-F kann auch versuchen, sich über Usenet Newsgroups (NNTP) zu verbreiten.

Wenn der Wurm mit einem Dateinamen gestartet wird, der mit einem P, Q, U oder I beginnt (Groß- oder Kleinschreibung ist egal), zeigt W32/Gibe-F folgende Meldung an:

"Microsoft Internet Update Pack
This update does not need to be installed on this system." oder

"This will install Microsoft Security Update. Do you wish to continue?"

Der Wurm kann auch vortäuschen, ein Installationspaket zu sein, indem er ein Installationsfenster mit folgenden Meldungen in der Titelleiste anzeigt:

"Searching for installed components ..."
"Extracting files ..."
"Copying files ..."
"Updating registry ..."

Wenn W32/Gibe-F erkennt, dass die Installation eines Debuggerts im Speicher aktiv ist, zeigt er die Meldung "Try to pull my legs?" an.

Der Wurm kopiert sich dann in den Windows-Ordner als Exe-Datei mit einem zufälligen Namen aus Kleinbuchstaben (z. B. jlfsm.exe) und fügt einen Eintrag zur Registrierung unter

HKLMSoftwareMicrosoftWindowsCurrentVersionRun hinzu, damit er beim Systemneustart ausgeführt wird.

Der Wurm ändert außerdem die Registrierungseinträge unter:

HKCRexefileshellopencommand
HKCRregfileshellopencommand
HKCRcomfileshellopencommand
HKCRbatfileshellopencommand
HKCRpifileshellopencommand
HKCRscrfileshellopencommand
HKCRscrfileshellconfigcommand

Dadurch wird er vor jeder EXE-, COM-, PIF-, BAT- und SCR-Datei ausgeführt und zeigt eine gefälschte Fehlermeldung (z. B. "Error occurred Memory access violation in module kernel32 at :") an, während REG-Dateien geöffnet werden.

 

W32/Swen

Der Wurm erstellt verschiedene Einträge in der Registrierung, um die Installation anzuzeigen, die KaZaA-Infektion zu bestätigen und zu verhindern, dass REGEDIT.EXE startet.

W32/Gibe-F kann auch eine Datei namens SWEN1.DAT im Windows-Ordner mit einer Liste mehrerer IP-Adressen und Domänennamen erstellen, bei denen es sich um NNTP-Server handeln kann.

W32/Gibe-F kann versuchen, die IFRAME-Schwachstelle in bestimmten Versionen von Microsoft Internet Explorer und Outlook Express auszunutzen, die das automatische Ausführen von Attachments während der Ansicht einer E-Mail ermöglicht. Microsoft hat ein Patch zur Verfügung gestellt, das Berichten zufolge diese Sicherheitslücke schließt. Das Patch steht unter www.microsoft.com/technet/security/bulletin/MS01-020.asp zur Verfügung.

Von diesem Wurm erzeugte E-Mails haben folgende Merkmale:

Sender: kann der vertrauenswürdige Name des Opfers oder zufällig aus folgender Liste erzeugt sein:

unknown
Microsoft
Support
Assistance
Services
Bulletin
Customer
Public
Technical
Center
Department
Section
Division
Security
Network
Internet
Program
Corporation
Microsoft
MS
Domain
Server
Receiver
Recipient
Client
Receiver
Recipient
Puremail
America
Netmail
Freemail
Bigfoot
Rocketmail
Routine
Program
Daemon
Automat
Engine
Service
Mailer
master
System
Service
Delivery
Storage
Message
Email
Postmaster
Administrator

und

bulletin
confidence
advisor
updates
technet
support,
newsletters
ms
msn
microsoft
msdn
.com
.net

(z. B. MS Support Department <zufällig>@support.microsoft.com)

Empfänger: zufällig aus folgenden erzeugt:

User
Client
Consumer
Partner
Customer
Commercial
Corporation
Microsoft
MS

Betreffzeile: zufällig aus folgenden erzeugt:

Corp.
Corporation
comes
which
Internet Explorer
Windows
update
package
correction
corrective
security
critical
internet
important
these
Install
Apply
Watch
Take a look at
Look at
Try on
Taste
Prove
Check out
Check
Upgrade
Update
Critical
Latest
Newest
Current
M$
MS
from
comes
came
which
this
that
these
the
See
Watch
Use
Apply

Text: zufällig aus folgenden erzeugt:

MS
Microsoft
Customer,
this is the latest version of security update, the
, Cumulative Patch update which
This update includes the functionality
of all previously released patches.
computer
system
on your
executable
to run
malicious user
attacker
the most serious of which could
allow an
from these vulnerabilities
maintain the security of your computer
protect your computer
continue keeping your computer secure
Install now to
vulnerabilities
newly discovered
as well as three
all known security vulnerabilities affecting
MS Internet Explorer, MS Outlook and MS Outlook Express
eliminates
resolves

Die angehängte Datei (EXE, COM, PIF, BAT, SCR oder ZIP) kann einen zufällig erzeugten Namen haben oder zufällig aus folgenden gewählt sein:

PATCH
UPDATE
UPGRADE
INSTALL


W32/Gibe-F kopiert sich in den freigegebenen KaZaA-Ordner und in den Windows-Ordner unter Verwendung verschiedener EXE- oder ZIP-Dateinamen, die aus folgenden erzeugt werden (z. B. "WINZIP UPLOAD.EXE"):

Virus Generator
Magic Mushrooms Growing
Cooking with Cannabis
Hallucinogenic Screensaver
My naked sister
XXX Pictures
Sick Joke",
XXX Video
XP update
Emulator PS2
XboX Emulator
HardPorn
Jenna Jameson
Hotmail hacker
Yahoo hacker
AOL hacker
fixtool
cleaner
removal tool
remover
Sircam
Bugbear
installer
upload
hacked
key generator
Windows Media Player
GetRight FTP
Download Accelerator
Winamp
WinZip
WinRar
KaZaA media desktop
Kazaa Lite

W32/Gibe-F versucht, verschiedene Prozesse, die mit Antiviren- oder Sicherheitssoftware im Zusammenhang stehen, zu beenden (z. B. sweep95, zonealarm und blackice).

Diese Nachricht empfehlen
Kommentieren12
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 11:45 Uhr AUKEY Externer Akku 12000mAh, 2A Eingang und 3.4A Dual Ausgängen, für iPhone, iPad, Samsung, Nexus,Tablets und andere 5V Eingang USB ladende Geräte, mit einem 20cm Micro USB Ladekabel
AUKEY Externer Akku 12000mAh, 2A Eingang und 3.4A Dual Ausgängen, für iPhone, iPad, Samsung, Nexus,Tablets und andere 5V Eingang USB ladende Geräte, mit einem 20cm Micro USB Ladekabel
Original Amazon-Preis
18,98
Im Preisvergleich ab
?
Blitzangebot-Preis
14,99
Ersparnis zu Amazon 21% oder 3,99
Nur bei Amazon erhältlich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden