Die DEUTSCHEN Trojaner-Seiten
 
Home
Wurm gibt sich als ANTS 3.0 aus

Seit dem 23. Oktober 2001 (also Dienstag) verschickt eine bisher noch nicht bekannte Person unter gefälschtem Absender eine E-Mail mit Dateianhang, der die neue Version ANTS 3.0 enthalten soll.
Nach ersten Erkenntnissen wurden diese Mails mehrfach im Namen des Autors Andreas Haak an fremde Personen verschickt. Der Absender ist natürlich gefälscht, Herr Haak würde niemals sein Programm Personen unaufgefordert per E-Mail übermitteln.
Bei ANTS handelt es sich um einen Trojanerscanner, der als Freeware erhältlich ist und in zahlreichen Tests seine Leistungsfähigkeit recht eindrucksvoll unter Beweis stellen konnte. Doch scheint irgendjemand etwas gegen den großen Erfolg dieser Freeware zu haben.

Die besagten E-Mails tragen folgende Merkmale:

Mail-Titel: ANTS Version 3.0
Dateianhang: ants3set.exe
Mailtext:
"Hi,

Anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen
kostenlosen Trojanerscanner. Zum installieren einfach die angefügte Datei
ausführen.

Attached you will find the brand new Version 3.0 of ANTS, the unique
freeware trojan scanner. To install ANTS simply run the attached setup file.

Adieu, Andreas
webmaster@avnetwork.de
http://www.ants-online.de"

Hier scheint jemand Herrn Haak ein wenig genauer zu kennen, da auch sein Schreibstil (z.B. "Adieu, Andreas) kopiert wurde.

Achtung !

Der Wurm durchsucht die Festplatte nach allen Mailadressen, die er finden kann und verbreitet sich selbstständig. Dabei wird auch nicht das Mailprogramm Outlook benutzt, sondern eine eigens eingebaute SMTP-Komponente.

Eine genauere Analyse, sowie ein Programm zur Bereinigung für infizierte Systeme, wird Herr Haak schnellstmöglich nachreichen und auch uns zwecks Veröffentlichung zur Verfügung stellen.
Updates dieser Meldung werden auf dieser Seite erscheinen und entsprechend gekennzeichnet sein. Eine Update-Information ist selbstverständlich zu gegebener Zeit auf unserer Hauptseite zu finden.

Update 24.10.2001 / 18:45 Uhr
(Analyse & Text von Andreas Haak)

Der Wurm an sich ist sehr sauber und effizient programmiert. Der Autor hat damit "ganze Arbeit" geleistet. Der Wurm ist unter allen Windows-Systemen lauffähig, benötigt keinen Mailclienten und ist dabei relativ klein.

Sobald der Wurm gestartet wurde, beginnt sich dieser zu tarnen. Er versteckt Fenster und Prozessnamen von sich selbst in dem er sie zufällig umbenennt. Danach erfolgt die sofortige Infektion des Systems. Der Wurm kopiert sich unter einem selbst generierten Dateinamen in das Windows - Verzeichnis. Die Namen weichen aufgrund einer eingebauten Routine von Fall zu Fall ab und können an dieser Stelle somit nicht benannt werden.

Ausserdem erfolgt ein Eintrag in der Registry unter folgendem Pfad:

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Runonce

Auch der Wertname wird ebenfalls zufällig bestimmt. Tückisch daran ist folgendes:

Bei jedem Start sitzt der Wurm in einer anderen Datei und nutzt einen anderen Wertenamen im Registryschlüssel. Dadurch ist eine manuelle Entfernung fast ausgeschlossen und für den normalen User kaum durchzuführen.

Nachdem der PC erfolgreich infiziert wurde, wird eine Liste aller verfügbaren SMTP Server erstellt. Der Wurm scannt dabei die Registry des Opfers ab. Zusätzlich zu den SMTP Servern des "Opfers" nutzt der Wurm folgende 8 anonymen Server:

200.52.69.2
200.52.69.9
193.92.94.226
12.34.208.35
195.229.189.2
toad.com
196.40.0.82
196.40.0.90

Zuerst wird die Server- und dann die Adressliste erstellt. Dabei wird zuerst das Adressbuch von Outlook gescannt. Danach wird das Laufwerk C nach Dateien durchsucht, die eine der folgenden Bedingungen beim Dateinamen (in den Endungen) erfüllen:

*.php*
*.htm*
*.shtm*
*.cgi*
*.pl*

Aus allen gefundenen Dateien filtert der Wurm alle Mailadressen, die er ebenfalls seiner eigens angelegten Adressliste hinzufügt. Das bedeutet: Auch Mailadressen von besuchten Webseiten (die sich noch in dem Cache des Browsers befinden) werden gelistet und später zur Weiterverbreitung genutzt.

Sollte auch das erledigt sein, beginnt der Wurm sich selbst zu verschicken. Zuerst wird getestet ob eine Netzwerkverbindung verfügbar ist. Falls ja, beginnt das "Weiterversenden". Dazu kopiert er sich kurzzeitig in die Datei "c:\ants3set.exe". Danach wählt er zufällig einen Server aus der Liste aus. Je nachdem ob es sich bei dem ausgewählten Server um einen der "mitgelieferten" anonymen oder um einen aus der Registry ermittelten handelt agiert der Wurm anders.

Sollte es sich um einen anonymen Server handeln, wird der Absendername auf "Andreas Haak" und Absender- sowie die Antwortadresse auf "webmaster@avnetwork.de" gesetzt. Sollte es sich nicht um einen anonymen Server handeln, wird der Absendername zwar ebenfalls auf "Andreas Haak" gesetzt, die Absender- und die Antwortadresse wird dagegen durch die zum SMTP-Server passende ersetzt, da sonst die Gefahr bestünde, daß die Mail zurückgewiesen wird.

Nun wird die eigentliche Nachricht verfasst, die weiter oben auf dieser Seite bereits beschrieben wurde.

Danach wird die Datei angehängt. Sie heißt immer ANTS3SET.EXE. Zu guter letzt trägt der Wurm die Empfänger der Mail ein. Dabei werden alle aus der Adressenliste ins Feld "BCC:" eingetragen. Der Erste aus der Adressliste landet in "To:". Das Verhalten ist in so fern "intelligent", da der Virus durch das Versenden von nur einer Mail quasi hunderten von Leuten die infizierte Datei zuschickt.

Als letztes wird die Mail abgeschickt. Nachdem dieses geschehen ist, wird die Datei "C:\ants3set.exe" wieder gelöscht. Zudem wird ein Timer aktiv, der dafür sorgt, daß diese Prozedur des Versendens in 5 Minuten wiederholt wird.

Zur Verbreitung:
Derzeit ist der Wurm innerhalb von wenigen Stunden in Europa und in den USA gesichtet worden (zumindest habe ich Rückmeldungen von dort). Einige große Firmen scheinen den Wurm auch erhalten zu haben und sind mitunter bereits infiziert. Dazu gehören z.B.

Telekom
Microsoft
Activision
3dfx
Intel
IBM
Corel

Dadurch das der Wurm die Adressen aus den HTML-Dateien auf dem Laufwerk C nutzt ist zu erwarten, daß eine sehr schnelle "Streuung" geben wird. Da einige Hersteller ihre Programme mit HTML Anleitungen liefern oder
Anleitungen in Form von HTML verfügbar sind, werden darin enthaltene Adressen ebenfalls für die Ausbreitung verwendet.


Entfernung:
Die Entfernung gestaltet sich schwierig, da im System keine Anhaltspunkte zu finden sind. Alles was auf den Wurm hinweist ist die Datei c:\ants3set.exe, die sich allerdings nur kurz finden lässt. Ansonsten sind Registryschlüsselnamen und Dateinamen variabel. Ich arbeite aber schon an einem Scanner. Schätze er wird morgen in der Früh (25.10.2001) verfügbar sein.

Update 25.10.2001 / 21:30 Uhr
(Wurm-Cleaner von Andreas Haak)

Wie bereits angekündigt, hier einen Cleaner gegen den besagten Wurm. Das Programm ist in der Lage den Wurm aufzuspühren und zu entfernen. Auch die Eintragungen in der Registry werden gelöscht.
Die hier angebotenen Dateien sind ein selbstentpackendes Archiv. Einfach den entsprechenden Anweisungen folgen.

Haftungsausschluss, bitte vor dem Download lesen !

Das Programm wurde durch uns eingehend getestet und funktionierte völlig ohne Fehler. Jedoch übernehmen wir keinerlei Haftung für eventuelle Schäden (ganz gleich welcher Art), die durch unsere Anwendung entstanden sein können. Bei Download der Datei erklärt der User diesen Haftungsauschluss gelesen und anerkannt zu haben.

Download
Deutsche Version (323 KB)
Download
Englische Version (322 KB)

(tt) 24.10.2001