16914

Malware: Wurm verbreitet sich über BitTorrent

02.07.2007 | 08:59 Uhr |

Die Nutzung des P2P-Netzwerks zu seiner Verteilung unterscheidet diesen Wurm von anderen Schädlingen seiner Art. Er breitet sich auch über Instant Messenger aus und öffnet auf infizierten Rechnern eine Hintertür ins System.

Würmer, die sich über Instant Messenger verbreiten, gibt es viele. Was W32/Impard-A von diesen unterscheidet, sind seine weiteren Fähigkeiten. Nach der Analyse des britischen Antivirus-Herstellers Sophos nutzt dieser Wurm auch das P2P-Netzwerk BitTorrent zur Verbreitung . Verseuchte Rechner können außerdem über IRC (Internet Relay Chat) aus der Ferne manipuliert werden.

Der Schädling spricht mehrere Sprachen, darunter Deutsch, Englisch, Französisch und Spanisch. Er erkennt die Sprache des installierten Windows und versendet über den AIM und Microsofts Live Messenger Nachrichten in dieser Sprache. Darin enthalten ist eine Kopie des Wurm in einer ZIP-Datei namens "myphoto.zip". Die verschickten Mitteilungen lauten zum Beispiel "Blick auf das neue foto, das ich", "ich ein fotoalbum, sollte bilde ich dieses addieren?" oder "he wie geht es Ihnen?" - offenkundig ist der Programmierer der deutschen Sprache nicht mächtig sondern hat sich eines automatischen Übersetzungsdienstes bedient.

Der Wurm installiert auf dem Rechner einen Backdoor-Server, der sich über IRC fernsteuern lässt. Außerdem versucht er die Firewall-Einstellungen zu manipulieren, um auf das Internet zugreifen zu können. Er kopiert sich in die Datei C:\Recycler\msnservice.exe und legt einen Registry-Eintrag an, der diese Datei bei jedem Windows-Start ausführt:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run MSN Services = C:\RECYCLER\msnservice.exe

Zur BitTorrent-Nutzung sucht er auf dem PC nach der Programmdatei "bittorrent.exe" und initiiert gegebenenfalls einen Torrent mit einer Kopie der Wurm-Datei. W32/Impard-A sucht nach installierten Bots, versucht diese zu beenden und an seinen Herrn und Meister zu senden. Somit schaltet er Konkurrenten aus und übernimmt den PC in sein eigenes Botnet.

0 Kommentare zu diesem Artikel
16914