Eine Wurm-Familie verbreitet sich durch Einfügen von Anhängen in normale Mails.
Die Feebs-Familie zeichnet sich durch die bei Mail-Würmern eher selten anzutreffene Fähigkeit aus vom Benutzer verschickte normale Mails infizieren zu können. Feebs-Würmer setzen ferner Rootkit-Techniken ein um sich auf einem verseuchten PC zu verbergen. Sie breiten sich zudem auch über P2P-Netzwerke aus.
Diese Wurm-Familie startet außerdem einen Web-Server auf dem Port 80 (http) und enthält eine Backdoor-Komponente. Diese meldet sich über IRC und http bei ihrem Herrn und Meister, gestattet diesem so die Fernsteuerung befallener Computer. Feebs kopiert sich auch in Freigabe-Ordner von P2P-Netzen, die die Zeichenfolge "shar" im Namen tragen.
Die von Feebs zur Verbreitung genutzten Mails enthalten eine HTA-Datei, also eine spezielle HTML-Seite mit Script-Code, den der Internet Explorer ausführen kann. Diese wird beim Mail-Versand stets automatisch neu generiert, was der im Wurm enthaltene Web-Server übernimmt.
Wird diese HTA-Datei auf einem bis dahin sauberen PC ausgeführt, legt sie den Wurm in der Datei C:\command.exe auf der Festplatte ab. Dieser erzeugt dann eine weitere Datei auf C:, deren Name nur aus einem Buchstaben (a bis z) besteht. Das ist die DLL-Komponente von Feebs, die wiederum zwei neue Dateien anlegt. Im System32-Verzeichnis von Windows entstehen dabei die Dateien "ms[variabel].dll" und "ms[variabel].exe".
Die Feebs-Würmer setzen Rootkit-Techniken zu ihrer Tarnung ein. Die DLL-Komponente wird in alle laufenden Prozesse injiziert und kann diese somit manipulieren. Auf diese Weise kann Feebs auch die generierten HTA-Dateien in vom Benutzer verschickte Mails einfügen. Die Gefahr liegt hier also darin, dass der Wurm in regulären Mails von Bekannten enthalten sein kann.
Beschreibung der Feebs-Würmer von F-Secure , bei McAfee heißen sie " Kmax ".
Quelle und Links :
www.pcwelt.de
