Bisherige neue Würmer bedienten sich zwecks rasanter Verbreitung der Mailprogramme Outlook und Outlook Express. Diese Meldungen haben sicherlich nicht für einen guten Ruf der E-Mail Anwendungen beigetragen.
Doch je populärer ein Programm wird, desto "interessanter" wird dieses auch für Virenschreiber. Der aktuelle Virus/Wurm "Stator" nutzt das Mailprogramm "TheBat" und sein Adressbuch zur automatischen Verbreitung. "TheBat" erfreut sich in letzter Zeit auch in Deutschland sehr grosser Beliebtheit, da das Vertrauen gegenüber den Mitbewerbern aus dem Hause Microsoft aufgrund zahlreicher Wurm-Meldungen gesunken ist. Ausserdem waren bisher noch keine "TheBat spezifischen" Würmer oder Viren bekannt. Für den sicherheitsbewussten Anwender sicherlich immer eine sehr gute Wahl gewesen. "Stator" zeigt, dass auch andere Programme verwundbar sind und wurde laut Auskunft der Firma Kaspersky Lab. Moskau auch schon "In The Wild" gesichtet.
Eingehende "Stator" E-Mail weisen folgende Merkmale auf:
Betreff: Privet!!!
Dateianhang: photo1.jpg.pif
Mailtext: In russischer Sprache und somit kyrillischer Schrift. Alleine dadurch dürfte diese Mail vor allem im deutschsprachigen Raum schon sehr auffallen !!
Übersetzt lautet der Text:
'Hallo!
Ich habe deine Adresse von einem gemeinsamen Freund von uns erhalten (eine beliebige Adresse). Ich benutze das Internet erst seit kurzem und habe mir eben eine Mailbox zugelegt. So schreibe ich nun meine erste eMail!!! Er hat gesagt, dass falls ich Fragen haben sollte, kann ich mich an dich wenden.... Ich bin ziemlich attraktiv und gesellig (siehe das Bild ). Ich warte auf deine Antwort!!! Schreibe etwas von dir, und frag mich, was du von mir wissen willst. Tschüss! Tschüss!
:)))))))))
Sveta Kowaljowa'
Wurde der Wurm/Virus aktiviert, wird auch ein Bild einer Frau angezeigt.
Doch "Stator" kann noch weitaus mehr, als sich mittels der Mailsoftware automatisch zu verbreiten und verhält sich wie ein Companion Virus. Beim Ausführen des Dateianhanges durch Doppelklick werden die Dateien MPLAYER.EXE, WINHLP32.EXE, NOTEPAD.EXE, CONTROL.EXE, SCANREGW.EXE in die Endung *.vxd umbenannt. Die Originaldateien werden durch eine Kopie des Wurms ersetzt.
Desweiteren kopiert sich "Stator" unter den Namen SCANREGW_EXE und LOADPE.COM in das Systemverzeichnis. Unter dem Namen IFNHLP.SYS noch in das Hauptverzeichnis.
LOADPE.COM legt eine Schlüssel zwecks Autostart in der Registry an, der wie folgt ausschaut:
HKCR\exefile\shell\open\command = LOADPE.COM
Bei jedem öffnen einer EXE-Datei wird der Worm aktiv und verwandelt die zu diesem Zeitpunkt betätigte Datei ebenfalls in eine .vxd - Datei, wie es weiter oben auch beschrieben wurde.
Zuletzt besitzt Stator noch eine Trojaner-Funktion die Passwörter und anderweitige, vertrauliche Informationen an eine entfernte Adresse übermitteln kann.
So sieht eine Mail aus, die gestohlene Informationen beinhaltet:
From: Stat-generator v1.3 [%email_from%@mail.ru]
To: [%email_to%@pisem.net]
Subject: PLICT`01. Stat from %IP_address%
Attach: STAT.PGP
%IP_address% steht dabei für die IP-Adresse des infizierten Computers. %email_from% ist eine zufällig generierte Zeile mit der Größe von 7 Byte (z.B. "syekqwc", "kryfmta", "nubipwd").
%email_to% ist eine 7-Byte-Zeile, die je nach dem Monat und dem Tag erstellt wird (z.B. "pwdkryf", "rzhpxfn"). D.h., die Adresse, an welche die Informationen von dem Computer aus abgeschickt werden, wird von der Monatsnummer und dem aktuellen Tag abgeleitet.
Es sei erwähnt, dass lediglich die Wurm-Funktion auf das Programm "TheBat" abziehlt. Führt ein Anwender eines anderen Mailprogrammes diesen Dateianhang aus, werden ebenfalls alle Schadensroutinen ausgeführt. Ledglich kann sich "Stator" nicht weiterverbreiten.
