14874

Würmer mit Passwortschutz

15.02.2007 | 08:59 Uhr |

Einige neue Würmer und Wurmvarianten verbreiten sich in Passwort-geschützten Archivdateien. Damit sollen sie unerkannt an Virenscannern vorbei kommen und den Empfängern mehr Vertrauen einflößen.

Würmer und andere Malware in Passwort-geschützten Archiven (etwa ZIP, RAR) zu versenden ist keine ganz neue Taktik. Sie feiert allerdings derzeit fröhliche Urständ, wie der Antivirus-Hersteller Trend Micro meldet. Passwort-geschützte Archive können von Virenscannern nicht geöffnet werden und somit sollte der Schädling unerkannt passieren können. Außerdem könnte es das Vertrauen des Empfängers in die Seriosität einer Mail erhöhen, wenn der vorgebliche Versender scheinbar extra für ihn ein persönliches Passwort eingerichtet hat. Eventuell kitzelt das auch nur seine Neugier - der Zweck würde jedenfalls erreicht.

Eine neue Bagle-Version ist ebenso unter den derart verbreiteten Schädlingen wie ein neuer Wurm namens "WORM_RANCHNEG.A", berichten die Virenforscher von Trend Micro in ihrem Blog . Während sich Bagle in der Mail auf eine kurze Liebesbotschaft ("I love you, Password is .....") beschränkt, hat sich der Programmierer des Ranchneg-Wurms mehr Mühe gegeben. Die Mails behaupten zum Beispiel, der Empfänger habe Nacktfotos verschickt und würde nun angezeigt. Das Deutsch in den Mails ist allerdings ausnehmend schlecht und dürfte somit wenig Vertrauen erwecken.

Der Wurm Ranchneg.A verschickt sich nicht nur wieder selbst per Mail, er enthält auch Backdoor-Funktionen. Er legt eine Programmbibliothek namens "mszsrn32.dll" im System-Verzeichnis von Windows ab und injiziert diese in den laufenden Prozess des Anmeldedienstes (winlogon.exe). Er spioniert Daten aus, meldet diese an einen Interent-Server und kann auf Befehl von außen weitere schädliche Aktionen auf dem PC ausführen. Beim Versenden der Mail benutzt er installierte Archivierungsprogramme wie 7-zip, WinRAR oder WinAce, um den Mail-Anhang zu verpacken.

0 Kommentare zu diesem Artikel
14874