xdial

Gelb-Alarm Wurm-Warnung

MUMU.A spioniert und lenkt Rechner fern
Von xdial.de

MUMA.A verteilt sich über lokalisierte SMB und penetriert die Laufwerksfreigaben mittels einer Liste bekannter und häufig benutzter Passwörter von Administrator-Accounts. Der Wurm ist lauffähig unter den Betriebssystemen Windows 95, 98, ME, NT, 2000 und XP.

Nach der Ausführung extrahiert der Wurm verschiedene Dateien in folgende Ordner:

  • %Windows%\bboy.exe (21KB)
  • %System%\last.exe (21KB)
  • %System%\bboy.dll (37KB)
  • %System%\kavfind.exe (31KB)
  • %System%\psexec.exe (37KB)
  • %System%\IPCPass.txt (1KB)
  • %System%\mumu.exe (295KB)
MUMU.exe ist eine Kopie des Wurms und enthält den gleichen Code wie BBOY.exe und LAST.exe. BBOY.dll wird für "Keylogging" Funktionen zur Protokollierung von Benutzereingaben verwendet.

IPCPass.txt enthält eine Liste vordefinierter Passwörter zur Penetration von SMB Shares und wird in der Regel von Virenscannern als BAT_Spybot.A identifiziert.

PSEXEC.exe ist eine legitime Programmdatei des Herstellers sysinternals.com, die zur Remote-Ausführung von Dateien und Programmen benutzt wird. Die Datei ist im Fall des Wurms mit dem Laufzeitpacker UPX komprimiert.

KAVFIND.exe ist ein weiterer Trojaner zur Steuerung des Fernzugriffs auf den infizierten Rechner. Diese Datei wird in der Regel von Virenscannern als TROJ_HACLINE.A erkannt.

MUMU.exe und LAST.exe sind

Der Wurm legt verschiedene Schlüssel zum Autostart in der Windows-Registry ab:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Kernel = "%Windows%\bboy.exe"

Im folgenden Schlüssel legt der Wurm die Netzwerk ID des infizierten Hosts ab:

HKEY_LOCAL_MACHINE\Software\mumu

Details:

MUMU ist ein komplexer Schädling, der zur Protokollierung von Benutzereingaben sowie für den Fern-Zugriff auf infizierte Rechner benutzt wird. Mittels spezieller Funktionen der Datei PSEXEC.exe können beliebige Prozesse auf dem Rechner gestartet werden.

Die Infektionsmethode unterscheidet sich von der üblichen Form, indem der Wurm Freigaben attackiert und versucht, sich auf Systemen mit Administrator-Rechten zu authentifizieren. Entsprechend können nach erfolgter Penetration sämtliche Funktionen mit Administrator-Rechten ausgeführt werden.

Es ist zu empfehlen, den bevorzugten Virenscanner zu aktualisieren sowie die Qualität der Passwörter für freigegebene Verzeichnisse zu überprüfen. Gute Passwörter bestehen aus mindestens 10 Zeichen und beinhalten Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen.