Wurm jagt SkripptKiddies (W32.HLLW.Cydog@mm)

#1 Ein neuer Trend: böse Jungs jagen böse Jungs - das beste Beispiel dafür der neue Wurm W32.HLLW.Cydog@mm - er versucht sich nicht nur wie üblich über das Outlook-Adressbuch zu verbreiten, sondern nuntzt auch viele P2P Tauschbörsen um seine Opfer mit interessanten Namen zu köndern. Betroffen sind: KaZaA, eDonkey2000, Bearshare, Grokster und Morpheus. Dazu erstellt er Kopien von sich selbst unter folgenden Bezeichnungen:

%System%\Cyberwolf.exe
%System%\Rundll32.exe
%System%\System\Explorer.exe
%System%\System\System.exe
%System%\Kernell32.exe
%System%\System32.exe
%System%\Systems.exe
%System%\Service.exe
%System%\Regedit32.exe
%System%\Cyberwolf.exe
%System%\Windows.Scr
%System%\Ms-Dos.Com
%Temp%\Windows Media Player Plugin.exe
<DownloadDir>\Windows Security Haches\Visual Basic 6.0 Msdn Plugin.exe
<DownloadDir>\Windows Security Haches\Hotmail Hacker 2003-Xss Exploit.exe
<DownloadDir>\Windows Security Haches\Netbios Nuker 2003.exe
<DownloadDir>\Windows Security Haches\Winrar 3.Xx Password Cracker.exe
<DownloadDir>\Windows Security Haches\Microsoft Keygenerator-Allmost All Microsoft Stuff.exe
<DownloadDir>\Windows Security Haches\W32.Cyberwolf@Mm Fix.exe
<DownloadDir>\Windows Security Haches\Kazaa SDK + Xbit Speedup For 2.Xx.exe
<DownloadDir>\Windows Security Haches\Winzipped Visual C++ Tutorial.exe
<DownloadDir>\Windows Security Haches\Xnuker 2003 2.93b.exe
<DownloadDir>\Windows Security Haches\Edonkey2000-Speed Me Up Scotty.exe
<DownloadDir>\Windows Security Haches\Imesh SDK+Xbit Speed Up.exe
<DownloadDir>\Windows Security Haches\Popup Remover 9.25.exe
<DownloadDir>\Windows Security Haches\Credit Card Numbers Generator(Incl Visa,Mastercard,...).exe
<DownloadDir>\Windows Security Haches\EA Games Keygen For All Versions(Only EA).exe
<DownloadDir>\Windows Security Haches\Free Mem-Games-Speedup.exe
<DownloadDir>\Windows Security Haches\Security-2003-Update.exe
<DownloadDir>\Windows Security Haches\Stripping MP3 Dancer+Crack.exe
<DownloadDir>\Windows Security Haches\Crackologic(All Windows Apps).exe
<DownloadDir>\Windows Security Haches\The Cyberwolf-Joke.Scr
<DownloadDir>\Windows Security Haches\My Kiss For You.Scr
<DownloadDir>\Windows Security Haches\Windows Xp Exploit.exe
<DownloadDir>\Windows Security Haches\Cyberwolf-Patch.exe
C:\Program Files\Edonkey2000\Incoming\Edonkey2000-Ad Remover.exe
C:\Program Files\Edonkey2000\Incoming\Hotmail Hacker 2003-Xss Exploit.exe
C:\Program Files\Edonkey2000\Incoming\Netbios Nuker 2003.exe
C:\Program Files\Edonkey2000\Incoming\Winrar3.Xx Password Cracker.exe
C:\Program Files\Edonkey2000\Incoming\EA Games Keygen For All Versions(Only EA).exe
C:\Program Files\Bearshare\Shared\Hotmail Hacker 2003-Xss Exploit.exe
C:\Program Files\Bearshare\Shared\Bearshare<Pro 4.3.1 Beta Version.exe
C:\Program Files\Bearshare\Shared\Xnuker 2003 2.93b.exe
C:\Program Files\Bearshare\Shared\Chaos Ip 2003-Xp Compitable.exe
C:\Program Files\Bearshare\Shared\Netbios Nuker 2003.exe
C:\Program Files\Grokster\My Grokster\Grokster Ad-Remover.exe
C:\Program Files\Grokster\My Grokster\Stripping Mp3 Dancer+Crack.exe
C:\Program Files\Grokster\My Grokster\Trojan Utility 5.6.exe
C:\Program Files\Grokster\My Grokster\Winrar 3.Xx Password Cracker.exe
C:\Program Files\Grokster\My Grokster\Netscan 1.6.exe
C:\Program Files\Grokster\My Grokster\Xss Security Exploit-Hotmail.exe
C:\Program Files\Morpheus\My Shared Folder\Morpheus-Gold.exe
C:\Program Files\Morpheus\My Shared Folder\Webseek-Mp3.exe
C:\Program Files\Morpheus\My Shared Folder\Chaos Ip.exe
C:\Program Files\Morpheus\My Shared Folder\Netbios Exploiter Xp.exe
C:\Program Files\Limewire\Shared\Credit Card Generator
C:\Program Files\Limewire\Shared\Crackologic(All Windows Apps).exe
C:\Program Files\Limewire\Shared\Lunix-Download.exe

Des Weiteren versucht er alle Dateien von Symantecprodukten zu löschen.

Technische Details sind auf http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.cydog@mm.html nachzulesen

Also mir ist der Wurm gleich zweimal sympatisch

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#2 Besser wäre so eine Verbreitung wie bei Sql Slammer

Wie ich mich da freun würde

Naja wer nicht vertrauenswürdige ausführbare Datein lädt ist selbst dran schuld
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#3 Ich denke, dies ist der erste wirklich sinnvolle Wurm in der Geschichte des Internets
__________
http://www.newscheck.cc/

#4 Was haben eigentlich Script-Kiddies mit P2P am Hut?
Ich denke das sind zwei Paar Schuhe, oder lieg ich da falsch?
Und weshalb freut ihr euch so wenn jemand sich über eine
Tauschbörse Viren einfängt?
Klingt für mich nicht nur nach Schadenfreude, sondern nach Intoleranz!
Ciao
Der Zatu

Ach ja, nicht nur wer unbekannte Dateien öffnet ist selber Schuld
sondern auch wer Outlook oder IE benutzt!

#5 Definition eines Scriptkiddies.

Benutzt "Hackertools" ohne zu wissen was diese Ausführen.
Mangelndes Hintergrundwissen im Bereich Security.
Behauptet "Ich bin ein Hacker" nachdem es mittels nuke einen 95Rechner abgeschossen hat. Meist im Alter eines Jugendlichen oder jungen Volljährigen."
Oft liegt bei diesen Personen nur eine Zerstörungswut vor.

Alle Files wo durch diesen Wurm verseucht wurden, haben einen Typischen Namen eines Programmes die sich "Scriptkiddies" "Hacker" "Cracker" usw. Suchen könnten. Ich möchte hier nicht genau festlegen wo der Unterschied zw. Hacker Cracker und Scriptkiddie ist. Darüber gibt es viele geteilte Ansichten.

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#6 So hört sich das schon besser an.
Danke für die Erläuterung!
Der Zatu

#7 Hm irgendwie ist mir der Wurm auch sympatisch ^-^ Könnte mein bester Freund werden hrhrhr .

sers TeleTobi

#8 Jo,
ein Würmchen mit sinn.
In welcher Sprache is der geschrieben?
Den könnte man ein wenig erweitern auf Dateinamen
die auf Kinderporno-Inhalt deuten. (ita.zip.exe oder so..)
Die gehen mir auch mächtig aufn Sack!

Hat den wurm schon jemand bzw. nähere Infos darüber?

#9 http://neworder.box.sk/showme.php3?id=7715
http://www.securityfocus.com/virus

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de