17884

Falschspieler: Der Super-Mario-Wurm

01.08.2007 | 14:42 Uhr |

Ein Wurm verbreitet sich per Mail und lockt dabei mit dem bekannten Spiel "Super Mario Bros.". Während das Spiel gestartet wird, verseucht der Wurm den PC und verbreitet sich weiter.

Wer kennt nicht den Pizza-bringenden Helden "Super Mario" aus dem gleichnamigen Jump&Run-Klassiker? Ein neuer Mail-Wurm macht sich die einstige Popularität des grobpixeligen Spieleklassikers zu Nutze, um Mail-Empfänger zum Öffnen eines Anhangs zu verleiten. Der Wurm heißt "Romario" und darin sind sich die Antivirus-Hersteller mal wieder so einig wie lange nicht mehr.

Der Schädling verbreitet sich per Mail, hat jedoch keine eingebaute Funktion dazu, sondern bedient sich der Windows-eigenen Mail-Schnittstelle MAPI. Er durchsucht das Outlook-Postfach nach Mail-Adressen und benutzt auch die Betreffzeilen vorhandener Mails für seine Zwecke. Dadurch sollen die Empfänger annehmen, bei der Mail handele es sich um eine Antwort auf eine bestehende Korrespondenz.

Öffnet man den Anhang einer solchen Mail, startet der Wurm tatsächlich ein Mario-artiges Spiel, beginnt jedoch zugleich damit sich im PC häuslich einzurichten. Romario kopiert sich mit verschiedenen Dateinamen, die an unterschiedliche Spiele erinnern in Unterverzeichnisse des Benutzerprofils sowie in das Verzeichnis "\game" und als "mario.exe" ins Hauptverzeichnis. Außerdem kopiert er sich auf Wechselmedien wie USB-Sticks und auf Netzlaufwerke, wo er ebenfalls ein Verzeichnis "game" anlegt.

Ferner legt Romario mehrere Registry-Einträge an, damit er beim Start von Windows geladen wird. Weitere Registry-Manipulationen führen dazu, dass der Wurm immer dann aufgerufen wird, wenn jemand ein Programm mit einer Dateiendung wie BAT, COM, PIF oder SCR starten will. Er verändert die Startseite des Internet Explorers und deaktiviert die Systemwiederherstellung. Vieles davon klappt allerdings nur, wenn der Benutzer mit Administratorrechten arbeitet.

Weiteren Informationen bei Antivirus-Herstellern:
McAfee: W32/Romario@M
Sophos: W32/Romario-A
Symantec: W32.Romariory@mm

0 Kommentare zu diesem Artikel
17884