187772

Mobiler Wurm wechselt vom Handy auf den PC

05.09.2006 | 15:55 Uhr |

Ein Wurm kann sich auf Speicherkarten von Smartphones kopieren und einen Windows-Schädling in den PC einschleusen.

Der finnische Antivirus-Hersteller F-Secure berichtet über ein Gespann aus zwei Schädlingen, die sowohl auf Mobiltelefonen mit dem Betriebssystem Symbian OS als auch auf Windows-Rechnern zu Hause sind. Der Transfer vom Handy zum PC erfolgt über Speicherkarten.

Das Gespann besteht aus dem Windows-Wurm " Mobler " und dem Trojanischen Pferd " Cardtrap.AK ". Dabei ist Cardtrap.AK auf Smartphones mit Symbian OS zu Hause und deaktiviert dort verschiedene Anwendungen, indem es defekte Dateien anlegt. Außerdem kopiert Cardtrap.AK den Mobler-Wurm auf in das Handy eingesteckte Speicherkarten.

Wird eine solche Speicherkarte an den PC angeschlossen und die Wurm-Datei gestartet, versteckt Mobler das Windows-Verzeichnis, indem er das Attribut "versteckt" setzt. Dann kopiert er sich in verschiedene Verzeichnisse auf der Festplatte und auch auf entnehmbaren Speichermedien. Dabei macht er sich vor allem dadurch bemerkbar, dass er ständig geräuschvoll auf ein vorhandenes Diskettenlaufwerk zugreift, auch wenn keine Diskette eingelegt ist.

Die Dateinamen der Wurmkopien gleichen teilweise denen von vorhandenen Dateien und Verzeichnissen, also zum Beispiel "system.exe" oder "windows.exe". Das Dateisymbol des Wurms gleicht dem von Verzeichnissen, ein beherzter Doppelklick zum Öffnen eines vermeintlichen Verzeichnisses kann also den Wurm starten.

Außerdem legt Mobler auch noch ein Symbian-Installationsarchiv mit dem Namen "Black_Symbian.SIS + Cracked By .exe" an. In das System-Verzeichnis von Windows schreibt Mobler diverse Dateien, darunter "makesis.exe", "system.exe" und "Black_Symbian.SIS". Um bei jedem Start von Windows geladen zu werden, trägt sich Mobler in die Registry ein:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = %System%\SYSTEM.exe

Mobler deaktiviert den Taskmanager, den Registry-Editor, die Ansicht der Ordneroptionen und die Dateisuche. Ferner verhindert er die Ausführung verschiedener Programme und die Nutzung des Start-Menü-Eintrags "Ausführen...". Er kann zudem einen DoS-Angriff (Denial of Service) auf eine voreingestellte Website durchführen.

0 Kommentare zu diesem Artikel
187772