Sam2k
26.12.2004, 12:24
I copyrights:
Dieser Text wurde erstellt von Real_Sniper[BrightDarkness]
und unterliegt keinen Copyrights. Dieses Dokument kann und
soll beliebig weit verbreitet werden, trotzdem sollen die
Rechte des Authors nicht misachtet werden. Eine Modifikation
dieses Dokumentes ist ohne meine Einwilligung [zu erfragen
unter RealSniper@brightdarkness.de] NICHT zu verbreiten.
Das Original dieses Dokumentes findet man auf meiner
Homepage www.BrightDarkness.de, home of hacking......
II Overview:
1. Was ist ein Wurm?
2. Die Funktionen von ILOVEYOU
3. Links zu weiteren Info's
4. Die Source
III Contents:
1. Was ist ein Wurm?
--------------------
Ein Wurm ist ein Stück Code, das sich von selbst über
das Internet oder das lokale Netzwerk verbreitet.
Im Gegensatz zu einem Virus ist der Wurm jedoch nicht
direkt destruktiv. Der Wurm kann höchstends, wie im
Falle von ILOVEYOU, hohen Traffic verursachen....
Der bekannteste Wurm ist der von Robert T Morris, der
als DER Wurm überhaupt im Jahre 1988 SUN und VAX
Stationen angegriffen hat.
Er ist heutzutage als "Internetwurm" bekannt.
2. Die Funktionen von ILOVEYOU
------------------------------
Der Wurm ILOVEYOU lädt von einer Webseite einzelne
Banner herunter, welche jedoch schnell nicht mehr
erreichbar waren, da der Provider von den Philippinen,
Sky Internet Inc., schnell schaltete und den Webspace
löschte.
Dort wollte der Wurm auch das Programm WIN-BUGSFIX
runterladen, dass Passwörter ausspionieren sollte und
diese an Accounts bei Access Net mit der Nachricht
"Barok...e.mail.passwords.send.er.trojan-by spyder."
mailen sollte.
Darüber hinaus manipuliert der Wurm Einträge in der
Registry:
-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run\MSKernel32
-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices\Win32DLL
-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run\WIN-BUGSFIX
Der Virus versendet sich automatisch, nachdem er
ausgeführt wurde an E-Mailadressen aus dem eigenen
Adressbuch, um sich zu vervielfältigen.
So kommt ein hoher Traffic auf z.B. firmeninternen
Netzwerkmailservern zustande, woraufhin einige Firmen-
netze komplett auf Mailversand verzichten mussten.
Der Wurm verbreitet sich sowohl über Outlook als auch
über mIRC. Es modifiziert das script.ini File von
Mirc, so dass jeder neue Besucher eines Channels,
wo auch der infizierte sich befindet, das .vbs file
gesendet bekommt.
Das wohl destruktivste an diesem Wurm ist die Tatsache,
dass der Wurm alle .js .jse .css .wsh .sct .hta .vbs
.jpeg .jpg .mp3 .mp2 -Dateien unbrauchbar macht, was
vor allem Layouter und DTP Firmen zu schaffen machte.
Während der Wurm aktiv ist, trägt er sich im Taskmanager
als Prozess "w_srcipt" ein. Ist dies bei euch der Fall,
schnell diesen Task schliessen oder gleich der Rechner
killen [-->Power off]!
Eine Variante dieses Wurms aktiviert das Passwort-
Caching und übermittelt danach RAS und gecachte
Passwoerter per Mail ...
Bekannte Varianten sind bisher:
"ILOVEYOU"
"Susitikim shi vakara kavos puodukui..."
"Joke"
"Mothers Day Order Confirmation"
"Dangerous Virus Warning"
"Virus ALERT!!!"
"Important ! Read carefully !!"
"I Cant Believe This!!!"
"Thank You For Flying With Arab Airlines"
"Variant Test"
"Yeah, Yeah another time to DEATH..."
"LOOK!"
"Bewerbung Kreolina"
"How to protect yourself from the IL0VEY0U bug!"
In Deutschland ermittelt bereits das BKA und in Manila
wurde ein 27-jährigen Mann und seine 23-jährige Frau
verhaftet. Die Frau sei zwar verdächtigt für die
Aussendung des E-Mail-Wurms benutzt worden sein, man
könnte sie dafür aber gar nicht selbst verantwortlich
machen.
Am "Amable Mendoza Aguila Computer College", dem
Arbeitsplatz des Hackers, der den Namen "Spyder"
benutzte, werden 10 weitere Personen verdächtigt, die
an der Entwicklung der Barok 2.1 Software beteiligt
sein sollen.
Der 18-jährige deutsche Austauschschüler in "Gold
Coast", Australien,namens "Michel" ist nach ersten
Verlautbarungen NICHT verantwortlich für den Virus.
Er hatte nur die Meldung aus dem Heise-Newsticker
zur Beseitigung des ILOVEYOU-Wurms ins Englische
übersetzt und im Usenet verbreitet. Dadurch ist er in
Zusammenhang mit dem Wurm gebracht worden...
Mittlerweile hatten die Hacker wohl Zeit, alle
relevanten Beweise auf den Rechnern zu löschen, da
sie über das Wochenende Zeit hatten, als die Behörden
keine Aktivitäten zeigten. In Manila herrschen noch
unklare Gesetze, was Computerkriminalität angeht...
Der Wurm habe nach offiziellen Zahlen 600.000 Computer
erreicht...die inoffiziellen Zahlen liegen aber weitaus
höher, da in diese Statistiken nicht die Rechner von
Privatbenutzern eingehen.
Der Schaden wird [am 09.05.00] auf 5,27 Millarden Mark
geschätzt. Dies ist die reine materielle Ausfallzeit
der betroffenen Server. Die Angst und Verärgerung der
Systemadministratoren ist da gar nicht berücksichtigt.
Zwei prominente Opfer waren die Fernsehanstalt ZDF und
die Expo Weltausstellung, deren Systeme kurz vor
Veröffentlichung stark betroffen waren.
Viele Firmen nahmen ihre Mailserver vorsorglich vom
Netz...
Auch Politiker reagierten auf die Aktivitäten von
"Love Bug": Die CSU fordert eine "GSG 9 im Netz"...
Da sieht man wieder die Unwissenheit und Naivität von
Politikern in Anbetracht technischer Probleme.
Die einzigen Gewinner dieser Vorfälle waren die
Hersteller von Antivirensoftware, deren Aktien um bis
zu 10% stiegen. Wichtigsten Vertreter waren McAfee,
Secunet, Utimaco und Norcom.
Das Internet ist im Allgemeinen nicht so stark durch
den Wurm betroffen. Es ist eher der einzelne Arbeits-
platz PC und die Mailserver in den Firmen, die Probleme
mit dem Wurm haben.
Im Gegensatz zu den dDoS Attacken im März ist das Netz
nicht in seiner Geschwindigkeit und Funktionalität
beeinflusst.
Die Basis der Verbreitung dieses Wurm ist die Tatsache,
dass heutzutage gerade bei Internetneulingen kein
Bewusstsein gegenüber Netzgefahren besteht.
Dieser Wurm hätte keine Chance, wenn alle Enduser über
die Gefahren von Visual Basic Scripts bescheid wüssten.
Viele haben jetzt begriffen, dass ausführbare Dateien,
wie .exe oder .com Dateien Gefahren beinhalten. Dass
aber auch Active X Controls und andere Scripts Bösewichte
sein können muss den Leuten erst noch klar gemacht
werden. Aber stattdessen produzieren die Medien lieber
Massenhysterie, die bei dem unwissenden Internetsurfer
nur Verunsicherung verursacht, statt aufzuklären.
Das Thema "ILOVEYOU-Wurm" ist in den vergangenen Tagen
sehr oft in den Medien präsent gewesen, aber nirgendwo
gab es eine Erklärung geschweige denn eine Analyse mit
Hintergrundinfo's für den Anwender.
Als Gegenmassnahme empfiehlt sich die Deinstallation
des Windowsscripting-hosts und die Entfernung der
Einträge in der Registry, sowie das Löschen der *.vbs
Dateien im Windows und Windows/System Ordner.
Zusammengefasst kann man feststellen, dass es sich hier
in erster Linie um einen Schlag gegen Microsoft und
dessen Mailprogramme handelt.
3. Links zu weiteren News
-------------------------
http://www2.sendmail.com/loveletter/ - Sendmail Konigurationspatch
http://www.europe.f-secure.com/v-descs/love.htm - Fsecure Info's
http://support.microsoft.com/support/
kb/articles/Q224/4/93.ASP?LN=EN-US&SD=g -
Microsoft Patch
http://www.securityfocus.com/data/tools/Fix_to_love.zip
Dieser Text wurde erstellt von Real_Sniper[BrightDarkness]
und unterliegt keinen Copyrights. Dieses Dokument kann und
soll beliebig weit verbreitet werden, trotzdem sollen die
Rechte des Authors nicht misachtet werden. Eine Modifikation
dieses Dokumentes ist ohne meine Einwilligung [zu erfragen
unter RealSniper@brightdarkness.de] NICHT zu verbreiten.
Das Original dieses Dokumentes findet man auf meiner
Homepage www.BrightDarkness.de, home of hacking......
II Overview:
1. Was ist ein Wurm?
2. Die Funktionen von ILOVEYOU
3. Links zu weiteren Info's
4. Die Source
III Contents:
1. Was ist ein Wurm?
--------------------
Ein Wurm ist ein Stück Code, das sich von selbst über
das Internet oder das lokale Netzwerk verbreitet.
Im Gegensatz zu einem Virus ist der Wurm jedoch nicht
direkt destruktiv. Der Wurm kann höchstends, wie im
Falle von ILOVEYOU, hohen Traffic verursachen....
Der bekannteste Wurm ist der von Robert T Morris, der
als DER Wurm überhaupt im Jahre 1988 SUN und VAX
Stationen angegriffen hat.
Er ist heutzutage als "Internetwurm" bekannt.
2. Die Funktionen von ILOVEYOU
------------------------------
Der Wurm ILOVEYOU lädt von einer Webseite einzelne
Banner herunter, welche jedoch schnell nicht mehr
erreichbar waren, da der Provider von den Philippinen,
Sky Internet Inc., schnell schaltete und den Webspace
löschte.
Dort wollte der Wurm auch das Programm WIN-BUGSFIX
runterladen, dass Passwörter ausspionieren sollte und
diese an Accounts bei Access Net mit der Nachricht
"Barok...e.mail.passwords.send.er.trojan-by spyder."
mailen sollte.
Darüber hinaus manipuliert der Wurm Einträge in der
Registry:
-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run\MSKernel32
-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices\Win32DLL
-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run\WIN-BUGSFIX
Der Virus versendet sich automatisch, nachdem er
ausgeführt wurde an E-Mailadressen aus dem eigenen
Adressbuch, um sich zu vervielfältigen.
So kommt ein hoher Traffic auf z.B. firmeninternen
Netzwerkmailservern zustande, woraufhin einige Firmen-
netze komplett auf Mailversand verzichten mussten.
Der Wurm verbreitet sich sowohl über Outlook als auch
über mIRC. Es modifiziert das script.ini File von
Mirc, so dass jeder neue Besucher eines Channels,
wo auch der infizierte sich befindet, das .vbs file
gesendet bekommt.
Das wohl destruktivste an diesem Wurm ist die Tatsache,
dass der Wurm alle .js .jse .css .wsh .sct .hta .vbs
.jpeg .jpg .mp3 .mp2 -Dateien unbrauchbar macht, was
vor allem Layouter und DTP Firmen zu schaffen machte.
Während der Wurm aktiv ist, trägt er sich im Taskmanager
als Prozess "w_srcipt" ein. Ist dies bei euch der Fall,
schnell diesen Task schliessen oder gleich der Rechner
killen [-->Power off]!
Eine Variante dieses Wurms aktiviert das Passwort-
Caching und übermittelt danach RAS und gecachte
Passwoerter per Mail ...
Bekannte Varianten sind bisher:
"ILOVEYOU"
"Susitikim shi vakara kavos puodukui..."
"Joke"
"Mothers Day Order Confirmation"
"Dangerous Virus Warning"
"Virus ALERT!!!"
"Important ! Read carefully !!"
"I Cant Believe This!!!"
"Thank You For Flying With Arab Airlines"
"Variant Test"
"Yeah, Yeah another time to DEATH..."
"LOOK!"
"Bewerbung Kreolina"
"How to protect yourself from the IL0VEY0U bug!"
In Deutschland ermittelt bereits das BKA und in Manila
wurde ein 27-jährigen Mann und seine 23-jährige Frau
verhaftet. Die Frau sei zwar verdächtigt für die
Aussendung des E-Mail-Wurms benutzt worden sein, man
könnte sie dafür aber gar nicht selbst verantwortlich
machen.
Am "Amable Mendoza Aguila Computer College", dem
Arbeitsplatz des Hackers, der den Namen "Spyder"
benutzte, werden 10 weitere Personen verdächtigt, die
an der Entwicklung der Barok 2.1 Software beteiligt
sein sollen.
Der 18-jährige deutsche Austauschschüler in "Gold
Coast", Australien,namens "Michel" ist nach ersten
Verlautbarungen NICHT verantwortlich für den Virus.
Er hatte nur die Meldung aus dem Heise-Newsticker
zur Beseitigung des ILOVEYOU-Wurms ins Englische
übersetzt und im Usenet verbreitet. Dadurch ist er in
Zusammenhang mit dem Wurm gebracht worden...
Mittlerweile hatten die Hacker wohl Zeit, alle
relevanten Beweise auf den Rechnern zu löschen, da
sie über das Wochenende Zeit hatten, als die Behörden
keine Aktivitäten zeigten. In Manila herrschen noch
unklare Gesetze, was Computerkriminalität angeht...
Der Wurm habe nach offiziellen Zahlen 600.000 Computer
erreicht...die inoffiziellen Zahlen liegen aber weitaus
höher, da in diese Statistiken nicht die Rechner von
Privatbenutzern eingehen.
Der Schaden wird [am 09.05.00] auf 5,27 Millarden Mark
geschätzt. Dies ist die reine materielle Ausfallzeit
der betroffenen Server. Die Angst und Verärgerung der
Systemadministratoren ist da gar nicht berücksichtigt.
Zwei prominente Opfer waren die Fernsehanstalt ZDF und
die Expo Weltausstellung, deren Systeme kurz vor
Veröffentlichung stark betroffen waren.
Viele Firmen nahmen ihre Mailserver vorsorglich vom
Netz...
Auch Politiker reagierten auf die Aktivitäten von
"Love Bug": Die CSU fordert eine "GSG 9 im Netz"...
Da sieht man wieder die Unwissenheit und Naivität von
Politikern in Anbetracht technischer Probleme.
Die einzigen Gewinner dieser Vorfälle waren die
Hersteller von Antivirensoftware, deren Aktien um bis
zu 10% stiegen. Wichtigsten Vertreter waren McAfee,
Secunet, Utimaco und Norcom.
Das Internet ist im Allgemeinen nicht so stark durch
den Wurm betroffen. Es ist eher der einzelne Arbeits-
platz PC und die Mailserver in den Firmen, die Probleme
mit dem Wurm haben.
Im Gegensatz zu den dDoS Attacken im März ist das Netz
nicht in seiner Geschwindigkeit und Funktionalität
beeinflusst.
Die Basis der Verbreitung dieses Wurm ist die Tatsache,
dass heutzutage gerade bei Internetneulingen kein
Bewusstsein gegenüber Netzgefahren besteht.
Dieser Wurm hätte keine Chance, wenn alle Enduser über
die Gefahren von Visual Basic Scripts bescheid wüssten.
Viele haben jetzt begriffen, dass ausführbare Dateien,
wie .exe oder .com Dateien Gefahren beinhalten. Dass
aber auch Active X Controls und andere Scripts Bösewichte
sein können muss den Leuten erst noch klar gemacht
werden. Aber stattdessen produzieren die Medien lieber
Massenhysterie, die bei dem unwissenden Internetsurfer
nur Verunsicherung verursacht, statt aufzuklären.
Das Thema "ILOVEYOU-Wurm" ist in den vergangenen Tagen
sehr oft in den Medien präsent gewesen, aber nirgendwo
gab es eine Erklärung geschweige denn eine Analyse mit
Hintergrundinfo's für den Anwender.
Als Gegenmassnahme empfiehlt sich die Deinstallation
des Windowsscripting-hosts und die Entfernung der
Einträge in der Registry, sowie das Löschen der *.vbs
Dateien im Windows und Windows/System Ordner.
Zusammengefasst kann man feststellen, dass es sich hier
in erster Linie um einen Schlag gegen Microsoft und
dessen Mailprogramme handelt.
3. Links zu weiteren News
-------------------------
http://www2.sendmail.com/loveletter/ - Sendmail Konigurationspatch
http://www.europe.f-secure.com/v-descs/love.htm - Fsecure Info's
http://support.microsoft.com/support/
kb/articles/Q224/4/93.ASP?LN=EN-US&SD=g -
Microsoft Patch
http://www.securityfocus.com/data/tools/Fix_to_love.zip