Das Internet Storm Center des SNS-Instituts meldet eine größere Zahl erhaltener Kopien eines Wurms, der sich über das Chat-Programm AIM (AOL Instant Messenger) verbreitet. Es handelt sich, soweit bekannt, um eine oder mehrere Varianten eines bereits bekannten Wurms aus der "Sdbot"-Familie.
Es ist inzwischen nicht mehr ungewöhnlich, dass digitale Schädlinge auch über Instant Messenger verbreitet werden. Bemerkenswert ist allerdings die anscheinend recht hohe Zahl von Meldungen, die beim Internet Storm Center eingegangen sind.
Der Wurm kommt als Link in einer Nachricht mit dem Text "Checkout this JPEG". Klickt der Empfänger den Link an, wird eine EXE-Datei heruntergeladen und unter Umständen ausgeführt. Der Wurm trägt sich mehrfach in die Registry ein, auch als Dienst, um beim Start von Windows geladen zu werden:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Strtax = lock.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Strtax = lock.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
Strtax = lock.exe
Über eine Batch-Datei (Stapelverarbeitung) mit dem Namen "xz.bat" regeneriert der Wurm bei Bedarf automatisch die "lock.exe", falls sie gelöscht wird. Erst das Entfernen der drei Einträge aus der Registry und ein anschließender Neustart von Windows durchbricht diesen Kreislauf.
Der Wurm versucht die Firewall von Windows XP zu beenden und sendet sich über den AIM an alle darin gespeicherten Kontakte (Buddy-Liste). Mutmaßlich wird er auch als Backdoor fungieren oder weitere Schädlinge nachladen - darüber macht das Internet Storm Center (ISC) keine Angaben.
Der Diensthabende des ISC berichtet jedoch in einem Update der ursprünglichen Meldung, man habe eine weitere Variante erhalten, die von McAfee als " W32/Opanki " erkannt würde.
Quelle und Links :
http://www.pcwelt.de/news/sicherheit/120999/index.html
