109474

Messenger Malware wird vielseitiger

30.05.2005 | 09:39 Uhr |

Würmer, die sich mit der Hilfe von Instant Messengern ausbreiten, haben noch weitere Tricks auf Lager.

Über eine zunehmende Komplexität bestimmter digitaler Schädlinge berichtet Roel Schouwenberg von Kaspersky Labs . Sie benutzen in letzter Zeit zunehmend auch populäre Instant Messenger (IM) zur Verbreitung. Das ist jedoch nur ein Aspekt unter mehreren.

Zunächst beobachtete Schouwenberg so genannte IRC-Bots, die sich auch mittels AIM (AOL Instant Messenger) verbreiten können. IRC-Bots sind Trojanische Pferde, die über IRC (Internet Relay Chat) verbreitet und ferngesteuert werden. So kann der Herr und Meister seinem Knecht via IRC nun auch den Befehl erteilen sich per AIM zu verbreiten.

Die Bots enthalten verschiedene Textbausteine oder Sätze, aus denen derjenige, der den Bot kontrolliert, seine Wahl trifft und eine Web-Adresse (URL) hinzufügt. Beides wird dann zusammen als HTML-Nachricht an AIM-Benutzer verschickt. Der AIM unterstützt HTML - da überrascht es nicht, dass diese Möglichkeit auch von Zeitgenossen mit weniger freundlichen Absichten genutzt wird.

Später stießen Schouwenberg und seine Kollegen auf eine neue Variante des Bropia-Wurms, " Bropia.ad ". Diese Wurm-Variante kopiert sich mit vielen unterschiedlichen Dateinamen in die Freigaben verschiedener P2P-Netze. Wie viele seiner Geschwister transportiert Bropia.ad eine Variante der "Rbot"-Backdoor, einem Trojanischen Pferd. Diese hat eine ganze Menge Funktionen parat: Sie kann als FTP-Server dienen, Port-Scans und DDoS-Angriffe ausführen, CD-Keys populärer PC-Spiele ausspionieren und einiges mehr.

Dabei wird auch die Hosts-Datei (in C:\Windows\System32\drivers\etc\) ersetzt, damit verschiedene Websites nicht erreicht werden können, wo der Benutzer Sicherheitsprogramme oder Antivirus-Updates erhalten könnte (Abhilfe: löschen Sie die Hosts-Datei). Die Verbreitung des Wurms erfolgt Bropia-typisch über den MSN-Messenger. Der Rbot hingegen breitet sich über das Netzwerk aus, indem er ungepatchte Sicherheitslücken ausnutzt und Wörterbuchangriffe gegen Passwort-geschützte Freigaben ausführt.

Dies ist nur eine Momentaufnahme - die Entwicklung schreitet bereits weiter voran.

0 Kommentare zu diesem Artikel
109474