Thema: AIM-Wurm mit Weihnachtsgrüßen

[SiLæncer]

In der Vorweihnachtszeit ist besondere Vorischt geboten, denn viele Schädlinge greifen das Thema Weihnachten auf.

Weihnachten steht vor der Tür - das nutzen auch die Programmierer von Viren und Würmern. So bringen sie etwa Schädlinge in Umlauf, die sich als Grußkarten zum Weihnachtsfest ausgeben. Ein Beispiel unter vielen ist ein kürzlich entdeckter Wurm, der sich über den AOL Instant Messenger (AIM) verbreitet.

Nach Angaben des Internet Storm Center sendet der Wurm über den AIM Nachrichten mit einem Download-Link:

"This AIM user has sent you a Greetings Card, to open it visit: h**p://greetings.aol.com/index.pd?source=christmastheme?my_christmas_card.COM"

Der Link führt jedoch nur scheinbar zu einer AOL-Website, tatsächlich zeigt er auf den Download einer Kopie des Wurms: "http://<IP-Adresse>/My_Christmas_Card.COM" oder "http://<IP-Adresse>/My_Christmas_Card.SCR". Klickt der Empfänger auf den Link und öffnet die herunter geladene Datei, wird der Wurm aktiv und sendet die oben zitierte Nachricht an alle Kontakte in der Buddy-Liste des AIM.

Antivirus-Programme identifizieren den Wurm als Mitglied der "Sdbot"-Familie, wenn auch mit sehr unterschiedlichen Namen. Daraus folgt, dass der eigentliche Zweck dieses Wurms darin besteht, neue Zombies zu erschaffen, also die infizierten Rechner einem Netz fremdgesteuerter PCs ("Botnet") hinzu zu fügen.

Gerade in der Vorweihnachtszeit sollten Sie besonders aufmerksam sein. Würmer und Trojanische Pferde können auch den Umstand nutzen, dass viele Menschen jetzt im Internet Weihnachtsgeschenke kaufen. Schädlinge können dann zum Beispiel in Mails stecken, die vorgeblich eine Rechnung, Auftragsbestätigung oder dergleichen enthalten sollen - oder eben Weihnachtsgrüße.

Quelle : www.pcwelt.de

[SiLæncer]

Auf äußerst charmante Art verbreitete sich derzeit ein Wurm über ein Instant-Messaging-Programm: Mit einem lauten Lachen fordert er die arglosen Nutzer auf, Kontakt aufzunehmen. Mit dieser synthetischen Plaudertasche bricht eine neue Ära der Virenverbreitung an.

Der neue Wurm gibt sich humorvoll: "lol thats cool" ("Lautes Lachen das ist cool") schreibt der Schädling in eine mit AOLs Instant Messenger (AIM) verschickte Nachricht, so berichtet es das Online-Sicherheitsunternehmen IMlogic. Angehängt an die frohe Botschaft ist eine Webadresse. Klickt der arglose Nutzer auf den Link zur angeblichen Bilddatei "Clarissa17.pif", kriecht der Virus auf den Rechner und nistet sich dort ein.

Der Link führt zu einem File auf der Domain myfotos.cc. Beim Test von SPIEGEL ONLINE war der betroffene Link allerdings bereits nicht mehr funktionsfähig - die Gefahr ist also offenbar zunächst gebannt.

Einige Nutzer hätten zuvor jedoch sogar vorsichtig nachgefragt, berichtet IMlogic, ob es sich denn da nicht vielleicht um einen Virus handele. Der automatische Angreifer habe geantwortet "lol no its not a virus" ("Lautes Lachen, nein, es ist kein Virus").

Das fiese File soll Sicherheitsprogramme ausschalten, eine Hintertür im befallenen Rechner einrichten und Systemfiles verändern. Anschließend beginnt es demnach, sich selbst an alle Einträge der Freundesliste des geschädigten Nutzers zu verschicken, ohne dass der etwas davon merkt.

Ein Sprecher des Unternehmens sagte, hier handele es sich um eine Premiere. Der Wurm sei nicht weit verbreitet, aber es handele sich wohl auch nur um einen Testlauf. "Wir werden noch eine oder zwei Beispiele von Angriffen sehen, dann wird es Verfeinerungen geben, und dann einen echten Ausbruch."

Sogenannte Bots, also teilweise autonom handelnde Programme, sind in AOLs Instant Messenger nicht neu: Erst vor knapp zwei Wochen schickte das Unternehmen selbst zwei falsche Freunde ins Netz, die AIM-Nutzern bei der Zusammenstellung ihrer Weihnachseinkäufe unterstützen sollten - mit Verweisen auf kommerzielle Internetangebote.

Dass auch Virenschreiber sich jetzt solcher synthetischer Plaudertaschen bedienen, macht deutlich, dass eine neue Ära der Virenverbreitung anbricht. Messenger-Programme, die inzwischen allerorten benutzt werden, machen Nutzer noch anfälliger für hinterlistige Attacken.

Die nötige Basis ist längst vorhanden: Eine aktuelle Studie von Forrester Research zeigte beispielsweise, dass gut 87 Prozent der 15-Jährigen in den USA Instant Messaging nutzen - sehr viel mehr als beispielsweise ein Mobiltelefon besitzen. Nicht zuletzt die Mitglieder dieser Gruppe könnten sich, bei einem geschickt lancierten falschen Freund im AIM, als höchst effiziente Virenverbreiter erweisen.

Erst gestern tauchte ein anderer, nicht ganz so ausgefeilter IM-Virus auf: Die Sicherheitsfirma Akonix Systems berichtete über einen Weihnachts-Wurm, der sich als Grußkarte tarnt. Er wandte sich an AIM-Nutzer mit der Nachricht: "Der Nutzer hat ihnen eine Grußkarte geschickt, um sie anzusehen besuchen Sie", dann folgt eine URL. Auch hier reichte ein weiterer Klick, um den Wurm zu installieren.

Für Anwender von Instant-Messaging-Software gilt also spätestens jetzt das gleiche wie für E-Mail-Nutzer: Nicht auf Links und ausführbare Dateien aus ungeklärter Quelle klicken, besser noch einmal genau nachfragen, wenn der Absender bekannt ist. Und selbst dann sollte man die Antwort wachsam durchlesen - es könnte sich ja auch um einen lachenden Wurm handeln.

Quelle : www.spiegel.de

[SiLæncer]

Aktuelle Würmer für Instant-Messenger warten mit immer ausgeklügelteren Funktionen auf, um Chat-Teilnehmer zum Herunterladen und Öffnen schadhafter Dateien zu bewegen. Der Wurm, von der Instant-Messaging-Sicherheitsfirma IMLogic als IM.Myspace04.AIM bezeichnet, versendet Nachrichten an alle Kontakte in der lokalen AIM-Buddy-Liste eines infizierten Windows-PCs. Diese enthalten einen Link auf eine Datei namens clarissa17.pif, in der der eigentliche Schädling steckt.

Fällt ein AIM-Teilnehmer darauf herein und öffnet die Datei, wird sein System ebenfalls von dem Wurm befallen. Um auch bei misstrauischen Anwendern erfolgreicher sein zu können, antwortet der Schädling bei Rückfragen mit Nachrichten in der Art "lol thats cool" oder "lol no its not its a virus".

Über die interaktive Verbreitungsfunktion hinaus beendet der Schädling ihm bekannte Sicherheits-Tools und öffnet auf befallenen Rechnern eine Hintertür. Bisher ist der Wurm offenbar jedoch nicht weit verbreitet, auch wenn IMLogic die von ihm ausgehende Bedrohung bereits als "medium" einstuft.

Siehe dazu auch:

    * IM.Myspace04.AIM, Wurmbeschreibung bei IMLogic

Quelle und Links : http://www.heise.de/newsticker/meldung/67150