AIM-Wurm gibt sich als Itunes aus
Eine neue Variante des Opanki-Wurms verbreitet sich über den AOL-Messenger.
Instant Messenger wie der AIM dienen seit einiger Zeit auch zur Verbreitung von Viren und Würmern. Oft - und auch in diesem Fall - wird eine Download-Adresse über einen Messenger-Dienst verbreitet. Hier ist es der von AOL. Klickt ein Empfänger neugierig auf den Link, lädt er sich eine Datei herunter, die einen Schädling enthält.
Die per AIM verbreitete Nachricht lautet "this picture never gets old". Das Wort "old" ist als Link ausgeführt, der scheinbar auf eine Bilddatei im JPEG-Format zeigt. Tatsächlich lädt man sich damit einen Wurm aus der Opanki-Familie herunter. Dieser kopiert sich als "itunes.exe" in das Windows-Verzeichnis (%windir%). Dann trägt er sich in die Registry ein, damit er beim Starten von Windows automatisch geladen wird:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Itunes = %windir%\itunes.exe
Offensichtlich soll diese Namensgebung den Eindruck erwecken, es handele sich um Apples Musik-Software. Der Schädling kontaktiert über den TCP-Port 4888 einen IRC-Server und holt sich Instruktionen. Er lädt ein dann ein Trojanisches Pferd herunter und installiert insgesamt vier Adware-Programme.
Bei Trend Micro ist dieser Wurm als "Opanki.Y" bekannt, Symantecs Norton Antivirus meldet mit neuestem Update "W32.Opanki.D".
