Neuer Wurm kommt in verschlüsseltem ZipFile. (Beagle.J)

#1 Von www.BSI.de

Link: Beagle.J

Name: W32.Beagle.J@mm
Alias: WORM_BAGLE.J [Trend],W32/Bagle.j@MM [McAfee]
Art: Wurm
Größe des Anhangs: 12.288 Bytes
Betriebssystem: Windows 95, 98, ME, NT, 2000, XP
Art der Verbreitung: Massenmailing, Netzwerkfreigaben
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Massenmailing, Installation einer Backdoor
Spezielle Entfernung: keine
bekannt seit: 02.03.2004

Beschreibung:

W32.Beagle.J@mm ist ein Massenmailer-Wurm, der sich über seine eigene SMTP-Maschine versendet. Er verbreitet sich auch über Netzwerkfreigaben, die den Wortteil shar enthalten. Dies trifft beispielsweise für die Tauschbörse KaZaA zu.

Dem Anwender wird in der gefälschten Absenderadresse eine vertrauenswürdige Stelle in der eigenen (Empfänger-) Domain vorgespielt.
(Beispiel: support@<Empfänger-Domain>

Hinweis:
Bei Privatanwender ist der Domain-Name üblicherweise der Name des Providers.
(Beispiel: ...@gmx.de, ...@hotmail.de)

Bei der angehängten Datei handelt es sich um ein kennwortgeschütztes ZIP-Archiv. Im Nachrichtentext wird unter anderem das Kennwort mitgeliefert.

Die E-Mail hat folgende Charakteristik:

Von (gefälscht; eine der folgenden):

management@<Empfänger-Domain>
administration@<Empfänger-Domain>
staff@<Empfänger-Domain>
noreply@<Empfänger-Domain>
support@<Empfänger-Domain>

Betreff (einer der folgenden):

E-mail account disabling warning.
E-mail account security warning.
Email account utilization warning.
Important notify about your e-mail account.
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Warning about your e-mail account.

Nachrichtentext (einer der folgenden):

Dear user of <Empfänger-Domain>,
Dear user of <Empfänger-Domain> gateway e-mail server,
Dear user of e-mail server "<Empfänger-Domain>",
Hello user of <Empfänger-Domain> e-mail server,
Dear user of "<Empfänger-Domain>" mailing system,
Dear user, the management of <Empfänger-Domain> mailing system wants to let you know that,

gefolgt von einem der folgenden Texte:

- Your e-mail account has been temporary disabled because of unauthorized access.
- Our main mailing server will be temporary unavaible for next two days,
to continue receiving mail in these days you have to configure our free
auto-forwarding service.
- Your e-mail account will be disabled because of improper using in next
three days, if you are still wishing to use it, please, resign your
account information.
- We warn you about some attacks on your e-mail account. Your computer may
contain viruses, in order to keep your computer and e-mail account safe,
please, follow the instructions.
- Our antivirus software has detected a large ammount of viruses outgoing
from your email account, you may use our free anti-virus tool to clean up
your computer software.
- Some of our clients complained about the spam (negative e-mail content)
outgoing from your e-mail account. Probably, you have been infected by
a proxy-relay trojan server. In order to keep your computer safe,
follow the instructions.

gefolgt von einem der folgenden Texte:

For more information see the attached file.
Further details can be obtained from attached file.
Advanced details can be found in attached file.
For details see the attach.
For details see the attached file.
For further details see the attach.
Please, read the attach for further details.
Pay attention on attached file.

gefolgt von einem der folgenden Texte:

For security reasons attached file is password protected. The password is "<password>".
For security purposes the attached file is password protected. Password is "<password>".
Attached file protected with the password for security reasons. Password is <password>.
In order to read the attach you have to use the following password: <password>.


gefolgt von einem der folgenden Texte:

The Management,
Sincerely,
Best wishes,
Have a good day,
Cheers,
Kind regards,

gefolgt von:

The <domain> team http://www.<domain>

Name des Anhangs (einer der folgenden als .ZIP):

Attach
Information
Readme
Document
Info
TextDocument
TextFile
MoreInfo
Message

Größe des Anhangs: 12.288 Bytes

Der Wurm sucht E-Mail-Adressen in Dateien mit den Endungen:

.wab, .txt, .msg, .htm, .xml, .dbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .adb, .tbb, .sht, .uin, .cgi

Beagle.J sendet keine infizierte E-Mail an Adressen mit folgenden Zeichenketten:

@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@

Der Wurm kopiert sich im infizierten System unter %System%\irun4.exe

Mit dem Registrierungs-Schlüssel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
srate.exe"="%System%\irun4.exe

wird Beagle.J beim Rechnerstart aktiviert.

Ein Backdoor wird installiert und öffnet auf dem infizierten Computer den TCP-Port 2745.

Weiterhin versucht der Wurm das Update von Schutzprogrammen zu verhindern, in dem es verschiedene Updateprozesse beendet:

Atupdater.exe
Aupdate.exe
Autodown.exe
Autotrace.exe
Autoupdate.exe
Avltmain.exe
Avpupd.exe
Avwupd32.exe
Avxquar.exe
Cfiaudit.exe
Drwebupw.exe
Icssuppnt.exe
Icsupp95.exe
Luall.exe
Mcupdate.exe
Nupgrade.exe
Outpost.exe
Update.exe


Meinung:
Besonders krass finde ich, das der Wurm als "Unterschrift" Ihr "www.bsi.de" Team benutzt.
Da fallen vielleicht wirklich ein paar darauf rein.

Ansonstenm scheint der Wurm nichts neues zu haben außer das er in einem verschlüsselten zIP Kommt.

Jetzt 'ne Frage
Das Ding auspacken, neu zippen mit anderem Passwort, Text ändern und der nächste Beagle ist fertig und kein Virenscanner erkennt ihn , oder?

@mod
Wenn ich diesen Text löschen soll , einfach melden!!!
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#2 Mit dem Zip packen ist so nicht ganz richtig. Dann musst du schon selber die Mail schreiben, die den neu Zipverschluesselten Wurm enthaelt, da der Wurm ja nicht wissen kann, welches passwort er in die Mail schreiben soll.
Einige AV-Programme, aVPE, KAV und Mcafee zumindest, koennen inzwischen verschluesselte Zips entpacken, zumindest bis zu einem bestimmten punkt.
Und der entzipte wurm ist natuerlich auch nicht verandert und wird erkannt.
__________
MfG Ralf
SEO-Spam Hunter

#3 Mein Denkfehler
Der AV hat ja (wahrscheinlich) keine Signatur des zip-Files, sondern 'ne Signatur der enthaltenen Datei. Würde der AV nur die Sig des zip's prüfen könnte man durch die obige Methode eine Nichterkennung erreichen.

Zitat

Manche AV-Prog's können verschluesselte Zip entpacken .

Es gibt ja Programme die wohl jedes verschlüsselte zip lesen können.
(hab ich gehört vom Nachbar der Freundin des Enkels meines Schwagers )
Da ist das Problem nur die Zeit, da scheinbar "Brute Force" immer funktioniert.
Wenn man aber gute Startwörter angibt, minimiert sich die Zeit.

Da der Wurm logischerweise sein Passwort mitschicken muß, könnte man die Wörter des Email-textes als Startworte nehmen. So könnte der Wurm im Zip schnell erkannt werden.

Ist aber wohl nur was für EMail-Scanner.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#4

Zitat

Da der Wurm logischerweise sein Passwort mitschicken muß, könnte man die Wörter des Email-textes als Startworte nehmen. So könnte der Wurm im Zip schnell erkannt werden.

Genau das macht z.B. seit gestern Kaspersky...
(wie es die anderen machen, weiß ich jetzt nicht so genau).

Und du hast schon recht: für (server-basierte) E-Mail-Scanner, die nach Möglichkeit jeden Mail-Virus _unbedingt_ finden müssen, mag das eine sinnvolle Sache sein.
Aber für normale Clients, die dank AV-Wächter eh nix zu befürchten haben, ist das ein bisserl übertrieben (bzw. ein weiterer Marketing-Gag...)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#5

Zitat

Genau das macht z.B. seit gestern Kaspersky...
(wie es die anderen machen, weiß ich jetzt nicht so genau).

Wo genau steht das, hast du mal 'nen Link

Danke
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#6 Im Rokop Board gibt es zwei Threads dazu:
http://www.rokop-security.de/board/index.php?s=734c754913b4c4b398f300111fbf1e95&showtopic=2260&hl=
http://www.rokop-security.de/board/index.php?s=734c754913b4c4b398f300111fbf1e95&showtopic=2256&hl=
__________
MfG Ralf
SEO-Spam Hunter