213768

Autorun-Wurm verbreitet sich über Yahoo Messenger

12.08.2009 | 15:31 Uhr |

Ein Wurm breitet sich über Wechselmedien, Netzlaufwerke sowie über den Yahoo Messenger aus. Er versendet Mitteilungen an die Kontaktliste, die Downloads-Links enthalten und nutzt die Autorun-Funktion von Windows.

Autorun-Würmer sind eine große und ständig weiter wachsende Kategorie von Schädlingen, die sich selbsttätig ausbreiten können. Sie nutzen die Autorun-Funktion von Windows, um beim Einlegen eines Wechselmediums automatisch geladen zu werden. Eine aktueller Vertreter dieser Gattung breitet sich zudem auch über den Yahoo Messenger aus, indem er Mitteilungen an die Kontaktliste sendet.

Der britische Antivirushersteller Sophos warnt im Blog seines Malware-Labors vor dem Wurm "W32/AutoRun-AOG", der sich mit den Dateinamen "True_Love.exe" und "MsRun32.exe" verbreitet. Die von dem Wurm verschickten IM-Nachrichten enthalten einen Link, der zum Download der Wurm-Datei führt. Der Text der Nachrichten lautet zum Beispiel "see this comedy joke click on this link", "what is this ? ......see", "Ha ha ha click on link to laugh …" oder auch "nice to listen ………".

Den Dateinamen "True_Love.exe" verwendet der Wurm, um sich auf Netzwerkfreigaben zu kopieren. Auf beschreibbare Wechselmedien wie USB-Sticks kopiert er sich hingegen als "MsRun32.exe" und legt zudem eine Datei "autorun.inf" im Hauptverzeichnis des Mediums an. Diese soll den Wurm starten, sobald der Datenträger angeschlossen wird.

Der Wurm verhindert den Zugriff des Benutzers auf den Taskmanager und die Registry. Er beendet alle Prozesse, die in einer Eingabeaufforderung gestartet werden. Er manipuliert die Registry, damit er bei jedem Windows-Start geladen wird.

Microsoft hat im Februar dieses Jahres ein Update für Windows bereit gestellt, nach dessen Installation man die Autorun-Funktion abschalten oder einschränken kann, sodass Autorun-Würmer nicht mehr funktionieren sollten. Anlass dafür war der Schädling Conficker.

0 Kommentare zu diesem Artikel
213768