Neuer Backdoor bedroht GMX-Nutzer

Seit dem 13. Juni ist ein neuerBackdoorim Internet unterwegs. Er wird als Mailanhang mit dem Namen "iwantyou.exe" versendet. Alle bisher bekannten Fälle wurden vonGMXFreemail-Nutzer gemeldet, wieGerman-Secureberichtet.

Die Mail, mit der der Schädling verbreitet wird, kommt von "iwantyou" und trägt als Betreff "Welcome to you". Der Dateianhang "iwantyou.exe" ist getarnt als circa 40 Kilobyte großer Dateiordner.

Klickt man auf diese Datei, so wird ein neuer Ordner erstellt. In diesem befinden sich eine 0 Byte große iwantyou.zip und ein Unterordner namens "iwantyou" mit folgenden Dateien: iwantyou.jpg und readme.txt - beide Dateien sind 0 Byte groß.

In der Registry werden folgende Einträge angelegt oder verändert: HKEY_LOCAL_MACHINE\Software\QingSoft, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\angel="angel.exe" und HKEY_LOCAL_MACHINE\Software\QingSoft\post="1722". Der Wurm versucht sich außerdem per Mail weiterzuverbreiten.

Der Backdoor versendet vom infizierten System aus eine Mail an die Adresse I_KILL_YOUR@163.com über den SMTP server pop.163.com. Dabei übermittelt er die aktuelle IP des infizierten Systems und öffnet den TCP Port 1722. Nach jedem Start des infizierten Systems wird eine neue Mail versendet.

Wie immer gilt auch bei diesem Backdoor: Nie auf unbekannte Dateianhänge klicken. Die Hersteller von Antiviren-Software haben bereits reagiert und werden in den nächsten Stunden ihre Virensignaturen aktualisieren. Somit sollten noch heute oder spätestens morgen alle gängigen Virenscanner den Wurm erkennen. Weitere Informationen zu diesem Backdoor finden Siehier