56040

Neue Kelvir-Varianten stören IM-Netze

15.04.2005 | 12:31 Uhr |

In dieser Woche sind nach Zählung von Symantec sechs neue Varianten des Kelvir-Wurms entdeckt worden. Dieser verbreitet sich über den MSN Messenger, indem er an alle Kontakte eine Nachricht sendet.

In dieser Woche sind nach Zählung von Symantec sechs neue Varianten des Kelvir-Wurms entdeckt worden. Dieser verbreitet sich über den MSN Messenger, indem er an alle Kontakte eine Nachricht sendet. Diese Nachricht enthält einen Download-Link, oft mit einem Kommentar, der beim Empfänger den Eindruck erzeugen soll, der Link führe zu einem Foto.

Bei einer der gestern entdeckten Varianten führte der Link zum Download einer Datei mit dem Namen "unknown@hotmail.com". Dabei handelt es sich, wie auch bei den meisten anderen Kelvir-Varianten, um eine sich selbst entpackende Archivdatei im RAR-Format. Sie enthält zwei EXE-Dateien und etwas Script-Code, der beim neugierigen Doppelklick auf die vermeintliche Mail-Adresse ausgeführt wird. Dadurch werden die beiden EXE-Dateien installiert.

Die eine ist der eigentliche Kelvir-Wurm, der die MSN-Nachrichten versendet, die andere EXE-Datei besteht aus einem Schädling der "Sdbot"-Familie (auch "Rbot", "Randex" oder "Spyworm" genannt). Dieser verwandelt den PC in einen so genannten "Zombie", also in einen Teil eines Bot-Netzes. Solche PCs werden von Dritten über das Internet ferngesteuert und können zum Beispiel als Spam-Schleuder oder für konzertierte Angriffe auf Web-Server missbraucht werden.

Nach der Entdeckung eines solchen Wurms, der auf Internet-Downloads setzt, wird von Sicherheitsfachleuten versucht, den Download möglichst schnell zu unterbinden. Das kann durch Benachrichtigung des Webmasters geschehen (der meist nicht weiß, was da auf seinem Server los ist) oder durch vorübergehende Sperren auf DNS-Ebene. Dabei wird der Name des Servers aus den DNS-Einträgen gelöscht, der Download-Link funktioniert dann nicht mehr.

Eine der neu entdeckten Kelvir-Varianten legte am Donnerstag das interne Messenger-Netz der Nachrichtenagentur Reuters lahm. Da einige PCs bereits verseucht waren und den Link fleißig per Messenger im internen Netz verbreiteten, mussten die Administratoren das IM-Netz still legen. Anwender des MSN-Messengers und kompatibler Programme sollten also bei zugesandten Links sehr vorsichtig sein und sie nicht anklicken, auch wenn die Nachricht scheinbar von einem Bekannten kommt.

0 Kommentare zu diesem Artikel
56040