10822

Mail-Wurm verspricht WM-Tickets

26.05.2006 | 14:48 Uhr |

Ein neu entdeckter Wurm verschickt Mails mit sehr unterschiedlichen deutschen Texten.

Würmer, die Mails mit deutschen Texten versenden, sind vergleichsweise selten. Der deutsche Antivirus-Hersteller Avira berichtet über einen Wurm mit dem Namen "Ranchneg.A", der vielfältige Mail-Texte benutzt.

Der Wurm setzt eine eigene Mail-Routine ein, fälscht die Absenderangaben und versendet sich an Adressen, die er auf einem infizierten Rechner findet. Die Mails können beispielsweise einen Betreff wie "Holen sie jetzt ihre WM Tickets ab!" oder "Holen sie sich WM Tickets fuer das Finalle JETZT" tragen. Es werden aber auch ganz andere Themen verwendet, die von Banküberweisungen über Ermittlungsverfahren bis zu eindeutig Zweideutigem reichen. Im Anhang ist eine ZIP- oder RAR-Datei mit recht unterschiedlichen Namen und etwa 40 KB groß. Das Passwort zum Entpacken steht in der Mail.

Ein Teil der Mail-Texte erinnert stark an einige Varianten des Sober-Wurms. Die Texte finden Sie ausführlich dokumentiert in der Beschreibung von Avira . Es ist bislang jedoch nicht bekannt, ob es Verbindungen zwischen dem Sober-Wurm und diesem neuen Schädling gibt.

Der Wurm wird bei McAfee als " W32/Banwarum@MM ", bei Sophos als " W32/Zasran-C " und bei Symantec als " W32.Banwarum@mm " bezeichnet. Er nutzt neben Mails auch eine als "ASN.1"-Lücke ( MS04-007 ) bekannte Schwachstelle in Windows aus, um sich zu verbreiten.

Die als Anhang versandte Archiv-Datei enthält eine EXE-Datei mit doppelter Dateiendung, die durch etliche Leerzeichen verschleiert werden soll. Wird sie gestartet, legt der Schädling eine Datei "mszsrn32.dll" im System-Verzeichnis von Windows ab und injiziert deren Code in den laufenden Prozess von "winlogon.exe". Er öffnet auf einem scheinbar zufällig gewählten Port eine Hintertür ins System und nimmt über HTTP und ein PHP-Script Kontakt mit diversen Servern auf.

Die Verbreitung des Wurms erreicht bislang keine von Sober und anderen Würmern vorgelegten Marken, wird jedoch von Avira immerhin mit Stufe 3 von 5 angegeben. Auf Grund der Themenwahl und der deutschen Texte dürften zwar etliche Empfänger die Mail öffnen, viele könnten jedoch durch den nötigen Aufwand letztlich davon abgehalten werden ihren PC zu infizieren.

0 Kommentare zu diesem Artikel
10822