34240

Neuer Trojaner "in the wild"

16.04.2004 | 12:55 Uhr |

Wieder ist anscheinend eine Lovegate-Variante verstärkt im Internet unterwegs. Zumindest warnt das Sicherheits-Unternehmen Sophos vor dem schon seit einigen Tagen bekannten W32/Lovgate-V, der befallene Rechner für Hacker-Angriffe öffnet.

Wieder ist anscheinend eine Lovegate-Variante verstärkt im Internet unterwegs. Zumindest warnt das Sicherheits-Unternehmen Sophos vor dem schon seit einigen Tagen bekannten W32/Lovgate-V, der befallene Rechner für Hacker-Angriffe öffnet.

Bei W32/Lovgate-V alias I-Worm.LovGate.w, W32.Lovgate.Gen@mm und WORM_LOVGATE.V handelt es sich zunächst um einen Internet-Wurm, der sich über Mail, Netzwerkfreigaben und Dateiaustausch-Netzwerke verbreitet. Nach seinem Start kopiert er sich als WinHelp.exe, iexplore.exe, kernel66.dll und ravmond.exe in den Windows-Systemordner und als systra.exe in den Windows-Ordner. Außerdem trägt er sich in die Registry ein um bei jedem Neustart von Windows mitgestartet zu werden.

Der Wurm durchsucht infizierte Rechner nach Mail-Adressen, an die er sich verschicken kann. Die Mails, mit denen Lovgate-V zum Anwender kommt, sind in englischer Sprache verfasst und tragen Betreffzeilen wie beispielsweise "hello", "Mail Delivery System" oder "Mail Transaction Failed". Die angehängte Datei mit dem Wurm hört wiederum auf Namen wie "readme", "doc" oder beispielsweise "text" - immer gefolgt von der Endung ZIP, EXE, PIF oder SCR.

Problematisch macht ihn vor allem folgende Funktion: Er legt nämlich die Dateien msjdbc11.dll, mssign30.dll und odbc16.dll auf dem infiziertem Rechner ab. Diese ermöglichen einen unbefugten Fernzugriff auf den Computer über ein Netzwerk. Außerdem versucht W32/Lovgate-V, sich über einfach geschützte remote Freigaben zu verbreiten.

Eine ausführliche Beschreibung von Lovegate-V mit weiteren Informationen finden Sie hier bei Sophos .

Sicherheits-News bei PC-WELT

0 Kommentare zu diesem Artikel
34240