21720

Lücke im Internet Explorer: Wurm nutzt ANI-Exploit

02.04.2007 | 17:22 Uhr |

Chinesische Sicherheitsfachleute haben am Wochenende die Entdeckung eines Wurms gemeldet, der sich die neue Sicherheitslücke im IE zunutze macht um sich auszubreiten. Der Wurm Trojan-Downloader.Win32.Agent.bkp alias W32.Fubalca infiziert lokal gespeicherte HTML-Dateien.

Das "Chinese Internet Security Response Team" (CISRT) hat einen Wurm gemeldet, der die kürzlich veröffentlichte Sicherheitslücke im Internet Explorer beim Umgang mit manipulierten Mauszeigerdateien ausnutzt. Es handelt sich dabei um einen Schädling, der weitere Malware aus dem Internet nach lädt, vorzugsweise Varianten bekannter Trojanischer Pferde, die Passwörter von Online-Spielen stehlen sollen.

Virenforscher von Antivirus-Herstellern haben die Meldung inzwischen bestätigt, sprechen jedoch von einer bislang eher geringen Ausbreitung. Während die Zahl der Websites, die mit Hilfe des neuen Exploits allerlei Malware verbreiten, am Wochenende stark angestiegen ist, liegen bislang nur wenige Berichte über mit diesem Wurm infizierte Rechner vor.

Der von Kaspersky und den mit dem Scan-Modul von Kaspersky arbeitenden Virenscannern als "Trojan-Downloader.Win32.Agent.bkp" und von Symantec als "W32.Fubalca" erkannte Schädling infiziert lokal gespeicherte HTML-Dateien. Er fügt darin Script-Code ein, der eine mit dem ANI-Exploit versehene Datei von Servern auf den Domains "microfsot.com" und "2007ip.com" herunter lädt. Werden die HTML-Dateien auf einen Web-Server geladen, verbreiten sie den Schädling weiter. Auch ausführbare Dateien (EXE) werden laut Symantec infiziert.

Außerdem versucht er sich über USB-Sticks und andere beschreibbare Wechselmedien zu verbreiten. Die Infektion ist an der Existenz der Dateien "autorun.inf" und "tool.exe" im Hauptverzeichnis des Datenträgers zu erkennen. Ferner legt er eine Datei namens "sysload3.exe" im System32-Verzeichnis von Windows an. Der Wurm verbreitet sich durch Versenden von Mails. Neuere Varianten des Wurms sollen die genannten Infektionsroutinen für lokale Dateien nicht mehr enthalten, meldet das CISRT.

0 Kommentare zu diesem Artikel
21720