MSN-Wurm baut Botnet und sucht VNC-Server

Anwender des Windows Live Messengers von Microsoft (ehemals MSN-Messenger) erhalten in diesen Tagen unter Umständen eine Mitteilung von bekannten Kontakten, die eine selbst entpackende ZIP-Datei enthält. Deren Name soll mit einem Bestandteil wie "pics" oder "images" auf vermeintlich enthaltene Bilder hinweisen. Es handelt sich jedoch um eine Datei mit doppelter Endung wie etwa "<name>.jpg.exe" oder eine PIF-Datei mit einem Namen wie "IMG01234.PIF".

Wird die Datei aufgerufen, installiert sie einen so genannten Bot (von: Roboter). Wie das Sicherheitsunternehmen Aladdin Knowledge System berichtet, handelt es sich dabei um einen so genannten IRC-Bot. Es ist also ein Schädling, der infizierte PCs in ein Botnet einreiht und per IRC (Internet Relay Chat) mit seinem Herrn und Meister kommuniziert.

Kurz nach der Entdeckung am Montag Morgen konnte die Malware-Forscher von Aladdin ein Kontroll-Server und etwa 500 Zombies (infizierte PCs) beobachten. Bereits weniger als drei Stunden später waren es bereits mehrere tausend Zombies und die Zahl stieg weiter um mehrere hundert pro Stunde. Der Schädling verbreitet sich Wurm-artig an die gespeicherten Kontakte von Anwendern des Live Messengers.

Während die Verbreitung über Instant Messenger ein üblicher Infektionsweg ist, haben die Aladdin-Forscher eine Eigenart dieses noch unbenannten Schädlings entdeckt, die ungewöhnlich ist. Er sucht nach aktiven VNC-Servern (Virtual Network Computing), die zur Fernwartung von Rechnern verwendet werden. Damit soll offenbar die Reichweite des Botnets vergrößert und auch durch Firewalls hindurch in Firmennetze ausgedehnt werden.

Was die Täter mit dem neu aufgebauten Botnet vorhaben, ist noch nicht bekannt. Aladdin will jedoch den IRC-Channel, der zur Steuerung der Zombies dient, weiter beobachten. Darin tummeln sich neben dem Botmaster nur infizierte Rechner.