1764364

Hintertürschädling lädt IM- und Facebook-Wurm

07.05.2013 | 16:35 Uhr |

Die Malware aus der Dorkbot-Familie verbreitet sich über soziale Netzwerke wie Facebook und über Instant Messenger wie Skype. Jetzt sind auch noch Multi-Protokoll-Messenger wie etwa Digsby hinzu gekommen.

Eine neue Variante des Wurms Dorkbot nutzt Multi-Protokoll-fähige Chat-Programme, um sich zu verbreiten. Haben sich bereits frühere Dorkbot-Varianten über Facebook, Skype und mIRC ausgebreitet, nutzt die neueste Version auch Digsby und Quiet Internet Pager. Beide unterstützen mehrere IM-Protokolle wie AIM, ICQ oder Jabber. Damit können potenziell mehr Opfer erreicht werden.

Wie der Antivirushersteller Trend Micro in seinem Blog meldet, wird dieser Wurm durch ein Trojanisches Pferd herunter geladen. Dabei handelt es sich um einen Hintertürschädling ("Backdoor") aus der Alureon -Familie, den Trend Micro als BKDR_LIFTOH.DLF bezeichnet. Dieser findet seinen Weg wiederum über andere Malware auf den Rechner, die man sich beim Besuch kompromittierter Websites einfangen kann.

Der Schädling lädt den Dorkbot-Wurm von einem Datei-Hoster, in diesem Fall Hotfile. Der Wurm sendet Download-URLs an die Kontakte, die er in dem installierten Instant Messenger findet. Die Downloads verweisen über Kurz-URLs auf einen anderen File-Hoster, diesmal Mediafire. Bei der herunter geladenen Datei handelt es sich um eine aktualisierte Fassung des Wurms. Dorkbot kann zudem Anmeldedaten stehlen, indem er sich in gängige Browser einklinkt.

Der Hintertürschädling lädt außerdem noch einen zweiten Wurm herunter, den Trend Micro WORM_KUVAA.A nennt. Dieser sucht nach Facebook-Cookies, um die Benutzeranmeldung bei Facebook zu umgehen. Er erkennt die gängigen Web-Browser und nutzt diese oder den Facebook-Messenger, um Spam-Nachrichten in 11 Sprachen zu posten, zum Beispiel: " kennst du das foto schon? " oder " i cant believe i still have this picture ". Diese enthalten wiederum einen Download-Link für eine Wurm-Kopie, der auf Mediafire verweist.

0 Kommentare zu diesem Artikel
1764364