188744

Neuer AIM-Wurm geht um

29.09.2005 | 14:49 Uhr |

Neue Wurm-Varianten verbreiten sich über den AOL Instant Messenger und deaktivieren die Firewall.

Das Internet Storm Center des SNS-Instituts meldet eine größere Zahl erhaltener Kopien eines Wurms, der sich über das Chat-Programm AIM (AOL Instant Messenger) verbreitet. Es handelt sich, soweit bekannt, um eine oder mehrere Varianten eines bereits bekannten Wurms aus der "Sdbot"-Familie.

Es ist inzwischen nicht mehr ungewöhnlich, dass digitale Schädlinge auch über Instant Messenger verbreitet werden. Bemerkenswert ist allerdings die anscheinend recht hohe Zahl von Meldungen, die beim Internet Storm Center eingegangen sind.

Der Wurm kommt als Link in einer Nachricht mit dem Text "Checkout this JPEG". Klickt der Empfänger den Link an, wird eine EXE-Datei heruntergeladen und unter Umständen ausgeführt. Der Wurm trägt sich mehrfach in die Registry ein, auch als Dienst, um beim Start von Windows geladen zu werden:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Strtax = lock.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Strtax = lock.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
Strtax = lock.exe

Über eine Batch-Datei (Stapelverarbeitung) mit dem Namen "xz.bat" regeneriert der Wurm bei Bedarf automatisch die "lock.exe", falls sie gelöscht wird. Erst das Entfernen der drei Einträge aus der Registry und ein anschließender Neustart von Windows durchbricht diesen Kreislauf.

Der Wurm versucht die Firewall von Windows XP zu beenden und sendet sich über den AIM an alle darin gespeicherten Kontakte (Buddy-Liste). Mutmaßlich wird er auch als Backdoor fungieren oder weitere Schädlinge nachladen - darüber macht das Internet Storm Center (ISC) keine Angaben.

Der Diensthabende des ISC berichtet jedoch in einem Update der ursprünglichen Meldung, man habe eine weitere Variante erhalten, die von McAfee als " W32/Opanki " erkannt würde.

Sicherheits-Newsletter: Sie möchten in punkto Sicherheit immer auf dem Laufenden bleiben? Dann abonnieren Sie doch einfach unseren kostenlosen Security-Newsletter. Dieser wird werktäglich verschickt. Bei Bedrohungen, die sofortiges Handeln erfordern, erhalten Sie zudem einen Security-Alert per Mail. Sie können den Newsletter auf dieser Website bestellen .

0 Kommentare zu diesem Artikel
188744