252979

IM-Wurm lockt mit Miss World

06.10.2006 | 15:15 Uhr |

Die Wahl zur Miss World dient einem Wurm als Aufhänger, der sich über den MSN Live Messenger und den Yahoo Messenger verbreitet. Der gleiche Wurm verbreitet sich auch mit Themen wie etwa Viren- und Sicherheitswarnungen.

Der Antivirus-Hersteller Trend Micro berichtet über einen IM-Wurm (Instant Messenger), der unter anderem die Wahl von Tatana Kucharova zur Miss World als Lockmittel einsetzt. Der Wurm heißt " WORM_SOHANAD.A " und kann auch per Download von einer zweifelhaften Website auf den Rechner gelangen. Die Verbreitung per IM erfolgt zum Beispiel mit einem dieser Themen:

- The latest picture of our upcoming Miss World 2006: [Link]
- Just check out my new personal website
- can u tell me what he will do next?
- The end for girls who follow the famous footballer
- A new dangerous computer virus that can destroys all your data has just been released. Click here to know how to avoid it.
- As a security measure, do not click on any links sent through IM messages especially if they come from an unknown source.

Wer den Link zu dem vermeintlichen Foto der tschechischen Miss World anklickt, wird enttäuscht. Statt des erwarteten Fotos wird ein Seite mit Gesundheitsthemen geladen. Dabei handelt es sich um ein Täuschungsmanöver. Tatsächlich führt der Link in der IM-Nachricht zunächst zu einer Weiterleitungsseite, dort wird der Download des Schädlings ausgelöst und in der Zwischenzeit folgt eine erneute Weiterleitung zur nächsten Web-Seite.

Wird der Schädling gestartet, manipuliert er die Windows-Registry und deaktiviert auf diesem Wege den Taskmanager und den Registry-Editor. Er ändert die Startseite des Internet Explorers und verhindert das manuelle Rücksetzen der Startseite. Der Schädling beendet die laufenden Prozesse diverser Sicherheitsprgramme. Er kopiert sich als "svchost32.exe" oder "svhost.exe" ins Windows-Verzeichnis und legt für diese Datei einen Autostart-Eintrag in der Registry an:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Task Manager = "%Windows%\svchost32.exe"
Svchost = "%Windows%\svhost.exe"

Die Verbreitung des Wurms ist eher gering. Antivirus-Programme mit Kaspersky-Technik (wie F-Secure, G Data AVK) erkennen ihn als "IM-Worm.Win32.Qucan.a", Antivir als " Tr/Dldr.Qucan.A ", NOD32 als "Win32/KillAV.NBD" und Bitdefender als "Win32.Worm.IM.Sohanat.A".

0 Kommentare zu diesem Artikel
252979