Thema: Aggressiver Wurm verbreitet sich über Messenger

[SiLæncer]

Der jüngste Spross der Wurm-Familie Palevo agiert aggressiver denn je. Wie BitDefender herausgefunden hat, haben Cyberkriminelle in den vergangenen Tagen eine Welle von automatisch generierten Instant Messages auf die Reise geschickt.

Die unaufgeforderte Meldung zeigt einen grinsenden Smiley und einen Link, der den User angeblich zu einem persönlichen Foto oder einer ganzen Galerie leitet. Statt einem Bild erhält das Opfer Worm.P2P.Palveo.DP – einen Wurm, der Remote-Angreifern eine "Hintertür" zu fremden PCs öffnet.

Nach Anklicken des Links im Instant Messenger erscheint ein Download-Fenster, in dem eine .jpg-Datei heruntergeladen werden kann. Betätigt der User den Download, schleust sich Palevo.DP auf dem Rechner ein. Auf einem ungeschützten System richtet der Wurm ein wahres Chaos an. Zunächst erstellt er mehrere versteckte Dateien im Windows-Ordner mit den Bezeichnungen mds.sys, mdt.sys, winbrd.jpg und infocard.exe. Anschließend verändert Palevo.DP einige Registrierungsschlüssel und setzt so die lokale Firewall des Betriebssystems außer Kraft.

Wie seine "Geschwister" enthält Palevo.DP eine Backdoor-Komponente, die es Angreifern von außen ermöglicht, die Kontrolle über den angegriffenen Computer zu erlangen Cyberkriminelle können auf diese Weise weitere bösartige Software installieren, um unbemerkt neue Spam-Kampagnen zu starten und andere Systeme mit Malware zu attackieren.

Die Palevo-Familie ist auch in der Lage, Passwörter und andere sensible Daten zu stehlen, die in Mozilla Firefox oder dem Microsoft Internet Explorer gespeichert sind. Die Nutzung von E-Banking- oder Online-Shopping-Diensten wird so besonders riskant. Der Verbreitungsmechanismus umfasst auch die Infektion von freigegebenen Netzwerkordnern und Wechseldatenträgern. Hier aktiviert sich der Wurm über die Autorun-Funktion in Windows.

Palevo-Würmer verbreiten sich zudem über Peer-2-peer-Plattformen wie Ares, BearShare, iMesh, Shareza, Kazaa, DC++, eMule und LimeWire, indem sie ihren Code in die dort freigegebenen Dateien injizieren.

Quelle : http://winfuture.de

[SiLæncer]

"W32.Skyhoo.Worm" verschickt sich selbst an Kontakte im Yahoo-Messenger- oder Skype-Adressbuch. Die Opfer sollen ein Bild herunterladen. Der Wurm kann sich vor Virenscannern verstecken und Microsoft-Office-Dateien infizieren.

Sicherheitsexperten von Bkis  warnen vor einer neuen Variante des kürzlich entdeckten Wurms "W32.Yimfoca". Der auf den Namen W32.Skyhoo.Worm getaufte Schädling verbreitet sich auf Windows-Systemen anders als sein Vorgänger nicht nur über Yahoo Messenger, sondern auch über Skype.

Er ist Bkis zufolge wesentlich ausgefeilter, was Täuschungsmanöver und Malware-Funktionen angeht als Yimfoca. Anwender von Skype oder Yahoo Messenger sollten jedenfalls sehr vorsichtig sein, wenn sie von ihren Freunden plötzlich Links auf Bilder geschickt bekommen.

Der Wurm verbreitet sich über Nachrichten wie "Does my new hair style look good? bad? perfect?" ("Sieht meine neue Frisur gut aus? Schlecht? Super?") oder "My printer is about to be thrown through a window if this pic won't come out right. You see anything wrong with it?" ("Mein Drucker fliegt jetzt gleich aus dem Fenster, wenn er das Bild nicht vernünftig ausgibt. Kannst Du irgendeinen Fehler entdecken?").

Die Nachrichten verbreiten gleichzeitig einen Link zu einer Bilddatei im JPEG-Format oder zu einer Website mit einem Bildlink. Klickt man darauf, wird eine Webseite aufgerufen, die wie eine Rapid-Share-Hosting-Seite aussieht. Dort kann das Opfer eine Archivdatei im ZIP-Format herunterladen. Der Inhalt des Archivs ist als JPEG-Bild getarnt, aber in Wirklichkeit eine ausführbare ".COM"-Datei - der eigentliche Virus.

Ist auf dem infizierten Rechner weder Skype noch der Yahoo Messenger installiert, beendet sich der Wurm sofort wieder. Gibt es aber eines dieser Programme, beginnt er laut Bkis Mitteilungen an die Kontakte des Opfers zu versenden. Auch E-Mail-Nachrichten sowie Word- oder Excel-Dateien, die das Opfer erstellt, würden infiziert.

Zusätzlich verbindet sich der Wurm mit einem IRC-Server (Internet Relay Chat) im Internet, von dem aus er Befehle erhält. "W32.Skyhoo.Worm" kann sich mit Rootkit-Techniken verstecken und Antiviren-Programme sowie etwa 700 Security-Websites blockieren. Außerdem soll er sich automatisch auf angeschlossene USB-Datenträger kopieren.

Auch der Vorgänger "W32.Yimfoca" täuschte einen Bildlink vor, um Anwender von Yahoo-Messenger dazu zu bringen, ihn herunterzuladen. Die Nachrichten schienen von Freunden oder Bekannten zu kommen. Eine typische Yimfoca-Nachricht enthält nur eines der Wörter "foto", "photo" oder "photos" zusammen mit einem Smily. Es folgt ein Link, der scheinbar auf eine Facebook-, MySpace- oder Bilderhosting-Seite verlinkt.

Quelle : www.zdnet.de