125340

AIM weiterhin Ziel von Malware

16.06.2005 | 15:59 Uhr |

Die Benutzer des AOL Instant Messenger werden zunehmend zur Zielscheibe von Wurm-Programmierern.

Der Antivirus-Hersteller Kaspersky berichtet über eine Zunahme von Malware (malicious software), die sich des AIM (AOL Instant Messenger) bedient. Würmer und Trojanische Pferde werden auf mehreren Webservern abgelegt, anschließend werden Nachrichten über den AIM verbreitet, die einen Link zu einem der Server enthalten.

So läuft es auch bei dem AIM-Wurm "Opanki", dessen jüngsten Abkömmling Kaspersky als " IM-Worm.Win32.Opanki.d " bezeichnet. AIM-Benutzer erhalten zunächst eine HTML-formatierte Nachricht, die aus unterschiedlichen Texten bestehen kann und einen maskierten Link zu einer der Web-Seiten enthält, auf denen der Programmierer Kopien seines Sprösslings abgelegt hat.

Klickt man auf den Link, wird der Schädling herunter geladen. Er kopiert sich als "niteaim.exe" ins Windows-Verzeichnis und setzt bei dieser Kopie das Attribut "versteckt". Ferner trägt er diese Datei in die Windows-Registry ein, damit Windows das Wurm-Programm beim Start automatisch lädt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinNite="C:\WINDOWS\NITEAIM.EXE"

Der Wurm nimmt dann Kontakt zu einem IRC-Server auf (Internet Relay Chat) und erhält auf diesem Wege neue Instruktionen. Sein Herr und Meister kann so steuern, welche Art von Nachricht der Wurm via AIM verbreiten soll. Ferner kann er ihn anweisen, weitere Dateien herunterzuladen und zu starten. Das können beispielsweise Trojanische Pferde sein, etwa ein Key-Logger, oder auch Adware und Spyware.

Die Vorgehensweise ähnelt der bei anderen Instant Messengern, zum Beispiel MSN. Problematisch ist - wie schon bei Mail-Programmen - die Fähigkeit der Messenger, HTML-Nachrichten darzustellen. Darin kann man einen Link so erscheinen lassen, dass der Empfänger eine andere Zieladresse vermutet als dann tatsächlich angesteuert wird. Die Verbreitung dieser IM-Würmer dient letztlich dem Aufbau von Botnets, also Netzwerken fremdgesteuerter Computer, die als Plattform für den Spam-Versand oder Angriffe auf Werbserver dienen.

0 Kommentare zu diesem Artikel
125340