MSN Messenger Wurm Bropia mit neuer Variante

Donnerstag den 03.02.2005 um 14:58 Uhr

von Frank Ziemann

Trend Micro warnt vor "WORM_BROPIA.F", der sich via MSN Messenger verbreitet.
Trend Micro warnt vor "WORM_BROPIA.F", der sich via MSN Messenger verbreitet. Bislang wurden Infektionen vorwiegend aus den USA und aus Asien gemeldet, Europa kann jedoch auch noch (aufgrund der Zeitverschiebung) an die Reihe kommen. Bei Symantec wird dieser Wurm als "W32.Bropia.J", bei McAfee als "W32/Bropia.worm.g" bezeichnet und die von ihm ausgehende reale Gefahr unterschiedlich bewertet.

Der Wurm legt eine Kopie von sich als "msnus.exe" im System32-Verzeichnis an und zeigt zunächst ein Bild an (sexy.jpg, 38 KB). Er schleust einen zweiten Schädling ein, mit dem der befallene PC durch Dritte ferngesteuert werden kann. Virenscanner erkennen diesen zweiten Wurm als "WORM_AGOBOT.AJC" (Trend Micro), "W32.Spybot.Worm" (Symantec) beziehungsweise "W32/Gaobot.worm.gen.l" (McAfee). Er wird mit dem Dateinamen "winhost.exe" im System32-Verzeichnis von Windows abgelegt. Er fügt den Eintrag '"win32" = winhost.exe' in folgende Registry-Schlüsseln ein:

HKEY_CURRENT_USER\Software\Microsoft\OLE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \RunServices "win32" = winhost.exe

WORM_BROPIA.F legt ferner eine Kopie von sich als PIF-Datei (188 KB) unter C:\ ab. Er überwacht den Status von eingetragenen Kontakten im MSN Messenger und sendet sich an diese, sobald sich ihr Status ändert. Er stellt die Lautstärke der Soundkarte auf Null, damit Warnmeldungen überhört werden.

Nehmen Sie generell keine Dateien an, die Ihnen unaufgefordert über Messenger-Programme angeboten werden, auch wenn sie scheinbar von Bekannten kommen.

Donnerstag den 03.02.2005 um 14:58 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
245002