BSI-Forum

Emanuel alias Navidad.B

Von Frank W. Felzmann, BSI

Nach der LOVELETTER-Welle, die Anfang Mai 2000 weltweit die PC-Benutzer heimsuchte, war die Aufmerksamkeit hinsichtlich verdächtiger E-Mails mit unbekannten Datei-Anhängen stark gestiegen. Nachfolgende Computer-Viren, Würmer und Trojanische Pferde wurden recht früh erkannt und konnten sich daher kaum verbreiten – bis zum Emanuel alias Navidad.B.

Die LOVELETTER-Welle hatte durch das entsprechende Medien-Echo und die große Anzahl der Betroffenen dafür gesorgt, dass die ständigen Mahnungen, bei E-Mail besonders vorsichtig mit Datei-Anhängen umzugehen, tatsächlich für einige Monate beachtet wurden. Auch E-Mails von vermeintlich bekannten Absendern wurden kritisch geprüft. Die Empfänger starteten die beigefügten Dateien nicht ohne weiteres durch Doppelklick. Oft gab es auch noch Rückfragen, um sich der Ungefährlichkeit der empfangenen Post (telefonisch) zu vergewissern. Dies führte zwar im Routineablauf zu gewissen Verzögerungen, aber die nachfolgenden Varianten des LOVELETTER hatten erhebliche Schwierigkeiten, sich überhaupt zu verbreiten. Zudem gaben Hersteller von Anti-Viren-Software von Zeit zu Zeit noch Warnungen vor besonders weit verbreiteten und äußerst gefährlichen Schädlingen heraus. Aber in fast allen Fällen waren die geschilderten Schadprogramme in der freien Wildbahn kaum anzutreffen. Und wie üblich bei oft wiederholten Warnungen schlief langsam aber sicher die Aufmerksamkeit der Anwender wieder ein: Es passierte ja nichts.

Navidad.A

Vor Weihnachten und zum Jahreswechsel wurde – auch vom BSI – vor gefährlichen Glückwünschen gewarnt. So konnte sich ein E-Mail-Wurm (umgangssprachlich: Computer-Virus, daher auch im Folgenden so bezeichnet) mit dem Namen "Navidad" (spanisch für Weihnachten), der seit Anfang November 2000 im Umlauf war, unter den Windows-Betriebssystemen mit Outlook kaum verbreiten. Der Virus war als EXE-Datei einer E-Mail-Nachricht beigefügt und hatte eine neuartige Art der Infektion und Verbreitung gewählt.

Allerdings wies er noch einen Programmierfehler auf, der eine flächendeckende Verbreitung zusätzlich erschwerte: Ein vom Virus vorgenommener Eintrag in der System Registry von Windows war fehlerhaft. Dadurch waren EXE-Dateien – und damit der Virus selbst – nicht mehr ausführbar. Zum einen wurde der Virus dadurch rasch entdeckt, zum anderen aber die Säuberung von infizierten Systemen sehr erschwert. Zur Bereinigung der Registry muss das Dienstprogramm REGEDIT.EXE ausgeführt werden. Dies ging aufgrund des Programmierfehlers nicht. Durch Wechseln vom Windows- in den DOS-Modus und Umbenennen von REGEDIT.EXE in REGEDIT.COM (und späterer Rückgängigmachung) war eine Entfernung möglich. Das Ganze war mehr lästig als gefährlich, da ansonsten keine explizite Schadensfunktion (wie Löschen von Dateien) vorhanden war.

Die Hersteller von Anti-Virus-Programmen gingen in ihren Beschreibungen des Virus natürlich auf diesen Fehler ein. Dies ließ den Autor oder irgendeinen Nachahmer offensichtlich nicht ruhen. Er korrigierte den Programmierfehler und schickte die Neu-Fassung des Navidad auf die Reise. Und schon war es passiert: Die nächste Welle rollte wieder durch die E-Mail-Verteiler.

Dies wäre sicher nicht in gleichem Ausmaß geschehen, wenn sich insbesondere die Endanwender an die  Empfehlungen zum Schutz vor Computer-Viren aus dem Internet der Task Force "Sicheres Internet" gehalten hätten. Im Nachfolgenden beziehen sich Zitate "Verstoß gegen Maßnahme xy" auf diese Empfehlungen.

Emanuel alias Navidad.B

Ausgangspunkt wie üblich: Eine E-Mail-Nachricht mit der beigefügten Datei EMANUEL.EXE. Da diese Datei genau 16896 Bytes groß ist, wird der Virus von einigen Viren-Suchprogrammen auch als NAVIDAD.16896 gemeldet.

In vielen Unternehmen und Behörden werden Viren-Schutzprogramme eingesetzt, die im Hintergrund (resident) ablaufen. Entweder zentral durch den Mail-Server beim Weiterleiten von Dateien als E-Mail-Anlage (Attachment) oder lokal beim Lesen von E-Mails und dem Öffnen von Dateien werden diese Anlagen auf Schadprogramme überprüft. Leider werden diese Schutzprogramme nicht immer regelmäßig aktualisiert (Verstoß gegen Maßnahme 1 bzw. 4) und der Virus landet auf dem Rechner des Anwenders.

Ist der User dann unvorsichtig (Verstoß gegen Maßnahme 2a) und aktiviert durch Doppelklick die EXE-Datei, wird der Virus aktiviert. Die Infektion läuft dann in mehreren Stufen ab: Zunächst erscheint auf dem Bildschirm ein Dialogfenster mit einem Smiley (Abb. 1), das eine Fehlermeldung ("Error") vortäuscht.

Abb. 1: Dialogfenster nach dem Start von EMANUEL.EXE

Anschließend wird in der Registry ein Eintrag vorgenommen, der beim Starten des Systems die Datei WINTASK.EXE ausführen soll. Unter diesem Namen kopiert sich der Virus in das entsprechende System-Unterverzeichnis von Windows. Hierbei geschah der Fehler bei der Ursprungs-Version Navidad.A: Anstatt der Datei-Erweiterung EXE wurde VXD verwendet (vermutlich ein Fehler des Autors beim Testen des Virus). Als nächstes erfolgt eine weitere Änderung in der Registry, die dafür sorgt, dass beim Ausführen von EXE-Dateien wiederum WINTASK.EXE zuerst gestartet wird.

Anschließend erfolgt die Verbreitung per E-Mail in der – mittlerweile – fast üblichen Weise: Der Virus liest den Posteingangs-Ordner von Outlook und antwortet auf alle Nachrichten, die ein Attachment aufweisen. Die Antwort besteht aus dem gleichen Betreff und Nachrichtentext, allerdings wird die Datei EMANUEL.EXE beigefügt. Damit entsteht bei dem Empfänger der Nachricht der Eindruck, es würde sich um die Rückantwort auf eine früher versandte Nachricht handeln.

Abb. 2: Dialog-Box nach dem Klick auf das Emanuel-Icon im Task-Tray: Der Text warnt auf spanisch davor, diese Schaltfläche zu betätigen.

Zum Abschluss wird ein Icon in Form einer Blume in der Taskleiste erzeugt. Beim Bewegen der Maus über dieses Icon erscheint der Text "Come on lets party!!!". Beim Anklicken dieses Icons erscheint eine weitere Dialog-Box (Abb. 2). Übersetzt bedeutet der spanische Text "Drücke nie diese Schaltfläche". Ignoriert der Anwender diese Warnung, erscheint ein weiteres Fenster mit dem Text "Emmanuel-God is with us! May god bless u.And Ash, lk and LJ!!!" (Abb. 3).

Abb. 3: Wer die spanische Warnung missachtet, erhält diese "Fehlermeldung".

Hat der Anwender jedoch die Warnung beachtet , also nicht die Schaltfläche aktiviert, und statt dessen auf das "x" geklickt, um das Fenster zu schließen, wird eine (kleinere) Dialogbox mit dem Text "May God bless u;D" erzeugt (Abb. 4). Nach dem Schließen der jeweilig geöffneten Meldungs-Fenster beendet der Virus seine Aktivitäten. Eine weitere Schadensfunktion ist nicht vorhanden – wenigstens bisher noch nicht.

Abb. 4: Eine kleinere Box mit einem kurzen Gruß erhalten Anwender, die nicht auf die "gefährliche" Schaltfläche geklickt haben.

REGEDIT4

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Win32BaseServiceMOD" = ""

Fazit

Auch in diesem Fall hat sich herausgestellt, wie verhängnisvoll und mangelhaft durchdacht die Entscheidung von Microsoft gewesen ist, sämtliche zur Steuerung des Windows-Betriebssystems wichtigen Informationen in einer zentralen Registry-Datei abzulegen, in der nicht nur das Betriebssystem, sondern jedes andere Programm beliebige Änderungen vornehmen darf.

Hinzu kommt natürlich die Nachlässigkeit der Benutzer, die trotz vieler wiederholter Hinweise alle Warnungen ignorieren, gerade bei Dateien in Form von E-Mail-Anhängen besondere Sorgfalt walten zu lassen.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 1/2001, Seite 67

Zurück zum Inhalt