39686

Wikipedia und das Trojanische Pferd

13.11.2006 | 15:47 Uhr |

Ein Virenschreiber nutzte die Möglichkeiten der freien Enzyklopädie und fügte Download-Links für Malware in einen Artikel über den Blaster-Wurm ein. Auch in der Malware selbst stecken ungewöhnliche Ideen.

Anfang November tauchten erstmals Spam-artig verbreitete Mails auf, die mit einem Betreff wie "Wikipedia - Alarm. Neue Variante des W32.Blasters im Umlauf. Wurm-Fix zum Download" vor einer angeblich neuen Variante des Blaster-Wurms warnten. Microsoft hätte die Wikipedia gebeten, bei der Verbreitung eines Sicherheits-Updates zu helfen, hieß es in den Mails weiter. Ferner gab es einen Link auf einen Wikipedia-Artikel über den Blaster-Wurm, den der Malware-Autor mutmaßlich selbst manipuliert hatte.

Der Virenschreiber nutzte aus, dass bei bearbeiteten Wikipedia-Artikeln ältere Fassungen weiterhin erreichbar sind, denn seine Download-Links wurden schnell entfernt. Die Links in den Mails zielten nun direkt auf eine bestimmte ältere Artikelversion, die noch die Download-Links für die angeblichen Patches enthielt. Nur die Administratoren der Wikipedia können solche Artikelfassungen entfernen, was sie in diesem Fall wenig später auch taten.

Spätere Versionen der Spam-Mails verwiesen auf eine Website "wikipedia-download.org", auf der eine Kopie des Blaster-Artikels im Wikipedia-Look die Download-Links für die angeblichen Blaster-Patches bereit stellte. Diese Links zeigten auf mehrere Kopien derselben EXE-Datei, die unterschiedliche Dateinamen trugen, um vorgeblich verschiedene Windows-Versionen zu bedienen.

Bei den identischen Dateien (zum Beispiel "WindowsXP-KB823980-x86-DEU.exe") handelt es sich um selbstentpackende komprimierte Archive, die tatsächlich eine veraltete Version des echten Microsoft-Updates enthalten und installieren. Der schädliche Code ist in der Entpackroutine der EXE-Dateien versteckt.

Bei Aufruf einer solchen Datei legt die Entpackroutine ein Trojanisches Pferd namens " Nordex " auf der Festplatte ab. Es wird als BHO (Browser Helper Object) im Internet Explorer installiert und versucht weitere Malware aus dem Internet nachzuladen. Es sendet ferner kodierte Informationen an einen Web-Server, mutmaßlich ausspionierte Daten.

Erkennung der zum Download angebotenen Dateien durch Antivirus-Software :

Quelle: AV-Test , Stand: 13.11.2006, 13:00 Uhr
* mutmaßliche Erkennung auf Basis von Kaspersky und Avast

Download der neuesten Version des Blaster-Patch von Microsoft (im Service Pack 2 für Windows XP bereits enthalten)

0 Kommentare zu diesem Artikel
39686