Viruswarnung: Beschreibung: W32.Blackmal.E@mm
Kurzbeschreibung des Virus
Name: W32.Blackmal.E@mm
Alias: F-Secure->Email-Worm.Win32.VB.bi, Karpersky->Email-Worm.Win32.VB.bi, ClamAV->Worm.VB-8 W32/Nyxem-D [Sophos], Troj/KillAV.GR [H+BEDV], W32/MyWife.d@MM [McAfee], WORM_GREW.A [Trend Micro]
Art: Wurm
Größe des Anhangs: ausführbare Datei 93KB, MIME-kodiert: 130KB
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing, Netzwerkfreigaben
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Massenmailing und Beenden von AV-Prozessen
Spezielle Entfernung: Entfernungs-Tool
bekannt seit: 17.01.2006
Beschreibung:
W32.Blackmal.E@mm ist ein Massenmailer-Wurm, der sich über seine eigene SMTP-Maschine mit gefälschten Absender-Adressen versendet. Zusätzlich durchsucht er das System nach den Freigaben "ADMIN$" und "C$" sowie weiteren durch ein schwaches Passwort geschützten Freigaben und kopiert sich selbst unter dem Namen "WINZIP_TMP.exe" in diese Verzeichnisse.
Bei der Verbreitung per E-Mail verwendet der Wurm folgende Betreffzeilen:
*Hot Movie*
A Great Video
Fw:
Fw: DSC-00465.jpg
Fw: Funny 
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
School girl fantasies gone bad
Die E-Mails enthalten einen der folgenden Inhalte:
Note: forwarded message attached. You Must View This Videoclip!
>> forwarded message
Re: Sex Video
i just any one see my photos.
It's Free
The Best Videoclip Ever
Hot XXX Yahoo Groups
Fuckin Kama Sutra pics
ready to be FUCKED 
forwarded message attached.
VIDEOS! FREE! (US$ 0,00)
What?
i send the file.
Helloi attached the details.
Thank you
the file i send the details
hello,
Please see the file.
how are you?
i send the details.
Die E-Mail-Anhänge können ausführbare Dateien oder MIME-kodierte Dateien sein.
ausführbare Datei MIME-kodierte Datei
007.pif
392315089702606E-02,.scR
677.pif
Adults_9,zip.sCR
Arab sex DSC-00465.jpg
ATT01.zip.sCR
Attachments[001],B64.sCr
Clipe,zip.sCr
document.pif
DSC-00465.Pif
DSC-00465.pIf
eBook.pdf
eBook.PIF
image04.pif
New Video,zip
New_Document_file.pif
photo.pif
Photos,zip.sCR
School.pif
SeX,zip.scR
Sex.mim
Video_part.mim
WinZip,zip.scR
WinZip.BHX
WinZip.zip.sCR
Word XP.zip.sCR
Word.zip.sCR
04.pif
DSC-00465.Pif
DSC-00465.pIf
image04.pif
3.92315089702606E02.UUE
Attachments[001].B64
Attachments00.HQX
Attachments001.BHX
eBook.Uu
Original Message.B64
Sex.mim
SeX.mim
Video_part.mim
WinZip.BHX
Word_Document.hqx
Word_Document.uu
oder
392315089702606E-02
Clipe
Miss
Photos
Sweet_09
mit der Endung
.b64
.BHx
.HQX
.mim
.uu
.UUE
.XxE
Die decodierten MIME-Dateien haben einen der folgenden Namen
392315089702606E-02,UUE[Leerzeichen].scr
Adults_9,zip[Leerzeichen].scr
ATT01.zip[Leerzeichen].scr
Atta[001],zip[Leerzeichen].scr
Attachments,zip[Leerzeichen].scr
Attachments[001],B64[Leerzeichen].scr
Clipe,zip[Leerzeichen].scr
New Video,zip[Leerzeichen].scr
Photos,zip[Leerzeichen].scr
SeX,zip[Leerzeichen].scr
WinZip,zip[Leerzeichen].scr
WinZip.zip[Leerzeichen].scr
Word XP.zip[Leerzeichen].scr
Word.zip[Leerzeichen].scr
Wird der Anhang entpackt und die beinhaltete Datei geöffnet, wird der Wurm aktiviert.
Dabei kopiert sich der Wurm als eine der folgenden Dateien auf das System:
%Windir%\Rundll16.exe
%System%\scanregw.exe
%System%\Winzip.exe
%System%\Update.ex
%System%\WINZIP_TMP.EXE
%System%\SAMPLE.ZIP
%System%\New WinZip File.exe
movies.exe
Zipped Files.exe
Zudem erstellt er eine leere .zip-Datei mit dem identischen Namen wie der Wurm im %System%-Verzeichnis. Um seine Funktionalität zu verstecken öffnet er diese Datei.
Hinweis:
%System% ist eine Variable, die sich auf das Systemverzeichnis bezieht. Bei Windows 95/98/ME handelt es sich dabei um C:\Windows\System, bei Windows NT/2000 um C:\Winnt\System32 und bei Windows XP um C:\Windows\System32.
%Windir% ist eine Variable, die sich auf das Windows Installationsverzeichnis bezieht. Bei Windows 95/98/Me/XP handelt es sich dabei um C:\Windows und bei Windows NT/2000 um C:\Winnt
Zusätzlich wird dem Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run der Wert "ScanRegistry" = "scanregw.exe /scan" hinzugefügt, so dass der Wurm bei jedem Systemstart aktiviert wird.
Bei folgenden Registrierungsschlüsseln werden Einträge geändert:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"WebView" = "0"
"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState
"FullPath" =
Außerdem werden unter dem Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Licenses weitere Einträge geändert.
Der Wurm löscht folgende Dateien im Verzeichnis C:\Program Files:
%ProgramFiles%\DAP\*.dll
%ProgramFiles%\BearShare\*.dll
%ProgramFiles%\Symantec\LiveUpdate\*.*
%ProgramFiles%\Symantec\Common Files\Symantec Shared\*.*
%ProgramFiles%\Norton AntiVirus\*.exe
%ProgramFiles%\Alwil Software\Avast4\*.exe
%ProgramFiles%\McAfee.com\VSO\*.exe
%ProgramFiles%\McAfee.com\Agent\*.*
%ProgramFiles%\McAfee.com\shared\*.*
%ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe
%ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe
%ProgramFiles%\Trend Micro\Internet Security\*.exe
%ProgramFiles%\NavNT\*.exe
%ProgramFiles%\Morpheus\*.dll
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
%ProgramFiles%\Grisoft\AVG7\*.dll
%ProgramFiles%\TREND MICRO\OfficeScan\*.dll
%ProgramFiles%\Trend Micro\OfficeScan Client\*.exe
%ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar
Folgende Registrierungsschlüssel werden nach den Werten "Home Directory", "NAV", "Folder" und "InstallLocation" durchsucht und alle darin enthaltenen .exe-Dateien gelöscht:
HKEY_LOCAL_MACHINE\Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\InstalledApps
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\101
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum
In folgendem Registrierungsschlüssel wird der Wert "Folder" durchsucht und alle darin enthaltenen Dateien gelöscht:
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
In folgendem Registrierungsschlüssel wird der Wert "Path" durchsucht und alle darin enthaltenen .exe und .ppl-Dateien gelöscht.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
Der Wurm schließt zudem alle offenen Fenster, die einen der folgenden Strings beinhalten:
SYMANTEC
SCAN
KASPERSKY
VIRUS
MCAFEE
TREND MICRO
NORTON
REMOVAL
FIX
Aus den folgenden Registierungsschlüsseln werden die Werte:
PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfwTmproxy
McAfeeVirusScanService
NAVAgent
PCCClient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50
kaspersky
TMOutbreakAgent
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
AVG7_CC
AVG7_EMC
VetAlert
VetTray
OfficeScanNTMonitor
avast!
DownloadAccelerator
BearShare
gelöscht:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Danach durchsucht er das System nach E-Mail-Adressen, die für die Weiterverbreitung verwendet werden, in Dateien mit folgenden Dateierweiterungen. Zusätzlich werden alle Dateien, die die Strings "CONTENT." und "TEMPORARY" beinhalten, durchsucht.
.htm
.dbx
.eml
.msg
.oft
.nws
.vcf
.mbx
.imh
.txt
.msf
Entfernung
Symantec stellt ein Entfernungstool zur Entfernung des Schadprogrammes zur Verfügung.
Symantec (FixBmalE.exe): Direkt-Download oder Download mit englischer Beschreibung
Der Wurm kann möglicherweise nicht im laufenden System entfernt werden, da der laufende Prozess die Datei blockiert oder Windows das Verzeichnis, in dem sich das Programm befindet, schützt. Verwenden Sie dann bitte folgende Vorgehensweise zur Entfernung des Wurms:
Systemwiederherstellung von Windows Me/XP deaktivieren
Start des Computers in den abgesicherten Modus
Durchsuchen Sie mit Ihrem aktuellen Viren-Schutzprogramm den Computer.
Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
infizierte Dateien löschen
Einträge aus der Windows-Registrierung entfernen
normaler Systemstart
Systemwiederherstellung (Me/XP) aktivieren
Hinweis:
Beachten Sie, dass Sie Ihr AV-Produkt nach der Entfernung des Wurms wieder neu installieren, da dies durch den Wurm beinträchtigt wurde.
Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.
Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
Das TOOL zum Entfernen: http://securityresponse.symantec.com/avcenter/FixBmalE.exe
Tool-Anleitung in englisch: http://securityresponse.symantec.com/avcenter/venc/…moval.tool.html
Quelle: http://www.bsi.de