241084

Die kurze Geschichte eines Wurms aus Vietnam

27.10.2006 | 13:44 Uhr |

Die Verbreitung des Sohanad-Wurms zeigt, wie sich ein anfangs unbedeutender Instant-Messenger-Wurm innerhalb weniger Wochen fast schon zu einer Landplage entwickelt hat.

Von der ersten Entdeckung einer mutmaßlichen Vorstufe Mitte September bis heute zeichnet Eric Avena im Malware Blog des Antivirus-Herstellers Trend Micro die noch junge Geschichte des IM-Wurms "Sohanad" nach. Anfangs nur auf vietnamesische Internet-Nutzer zielend, hat sich dieser Wurm mittlerweile weltweit ausgebreitet.

Am 13. September tauchte ein "TROJ_AGENT.EVJ" genannter Schädling per Instant Messenger vorwiegend in Asien auf und versuchte vorgeblich die Wahlen zur "Miss World" zugunsten der vietnamesischen Kandidatin zu beeinflussen.

Am 3. Oktober wurde diese Kampagne scheinbar durch den ersten als "Sohanad" bezeichneten Wurm fortgesetzt, der sich mit der Meldung "the lastest picture of our upcoming Miss World 2006" über den Yahoo-Messenger verbreitete.

Wie sein Vorgänger manipuliert dieser Schädling die Startseite des Internet Explorers und hindert betroffene Benutzer daran, diese Änderungen rückgängig zu machen. Dazu ändert er einen Registry- Eintrag und deaktiviert den Taskmanager und den Registry-Editor.

Ebenfalls am 3. Oktober tauchte auf einer Website ein Stück HTML-Code auf, das als "HTML_SOHANAD.A" erkannt wird und den Wurm " WORM_SOHANAD.A " herunter lädt. Einen Tag später tauchte die erste Variante des Wurms auf. Wie sein Vorfahr über den Yahoo Messenger verteilt, konnte "WORM_SOHANAD.B" jedoch auch mit AIM und dem Windows Live Messenger durchs Netz reisen.

Zwischen dem 5. und 12. Oktober wurden mehrere weitere Varianten dieses Wurms entdeckt, die sich teilweise mit etlichen verschiedenen Meldungstexten verteilten. Ihre Zielgruppe suchten sie nach wie vor in Vietnam, wie Themen und Sprache belegen.

Am 20. Oktober beobachteten Virenforscher die bis dahin komplexeste Variante, WORM_SOHANAD.I, die erstmals auch Sicherheitsprogramme außer Gefecht zu setzen versuchte. Die Schadensroutinen enthielten ferner Funktionen zum Download weiterer Schädlinge.

Nach dem Wochenende wurden am 23. Oktober IM-Nachrichten gesichtet, die Links zu mehreren Websites verbreiteten. Diese schaufelten mittels Script-Code den WORM_SOHANAD.I auf den Rechner. Am selben Tag tauchte mit WORM_SOHANAD.J die bislang letzte Wurm-Variante auf.

So ist innerhalb weniger Wochen aus einem unbedeutenden und regional begrenzten Wurm eine ganze Wurm-Familie entstanden, die auch eine starke Weiterentwicklung der Schadensfunktionen aufweist. Der heutige Stand der Entwicklung dieser Wurm-Familie zeigt koordinierte Angriffswellen mit mehreren Komponenten: IM-Nachrichten, Web-Seiten, Exploit-Code und Download-Funktionen. Mutmasslich wird inzwischen mit Sohanad bereits Geld verdient - und ein Ende der Entwicklung ist noch nicht in Sicht.

0 Kommentare zu diesem Artikel
241084