Benutzer des MSN-Messengers sollten auch bei eintreffenden Mitteilungen in deutscher Sprache aufmerksam bleiben. Symantec warnt vor einer neuen Variante des Kelvir-Wurms. Diese enthält Texte in mehreren Sprachen, darunter auch Deutsch.
Der von Symantec als " W32.Kelvir.HI " bezeichnete Wurm verbreitet sich über den MSN-Messenger. Er sendet Mitteilungen mit einem Download-Link. Klickt der Empfänger auf den Link, der vorgeblich zu einem Foto des Empfängers führen soll, wird der Wurm herunter geladen.
Wird der Wurm ausgeführt (das vermeintliche Bild geöffnet), kopiert er sich als "msmsgr.exe" in das System-Verzeichnis von Windows. Er legt in der Registry folgende Einträge an, damit er beim Start von Windows geladen wird:
"MSN Messenger User Controls" = "msmsgr.exe"
in den Schlüsseln
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesFerner deaktiviert der Wurm den Taskmanager, den Registry-Editor und die Systemwiederherstellung. Außerdem legt er im System-Verzeichnis eine Datei "msnmsgr.exe" ab, die ein Trojanisches Pferd enthält, das von Symantec als "W32.Spybot.Worm" bezeichnet wird. Dieses öffnet eine Hintertür zur Fernsteuerung und wartet auf Instruktionen aus dem Internet.
Der Wurm stellt fest, welche Sprache auf dem infizierten Rechner eingestellt ist und sendet seine Mitteilungen in dieser Sprache. Neben Deutsch und Englisch kann er auch Französisch, Griechisch, Italienisch, Niederländisch, Portugiesisch, Schwedisch, Spanisch und Türkisch. Der deutsche Text lautet "haha Ich fand Ihr Foto!", der englische "haha i found your picture!". Diese Meldung erscheint auch in Abständen im gerade aktiven Fenster auf dem infizierten PC.
Die meisten Antivirus-Hersteller haben im Rahmen ihres normalen Update-Turnus bereits Aktualisierungen bereit gestellt, mit denen der Wurm erkannt wird.
Quelle :
www.pcwelt.de
