117662

Wurm in angeblicher Beta des MSN Messenger

28.12.2005 | 15:42 Uhr |

Statt eines neuen Messengers wird ein IM-Wurm mit Backdoor installiert.

Wer über seinen MSN Messenger eine Mitteilung erhalten hat, die nach einer Einladung zum Testen einer Beta-Version des neuen Messengers aussieht, sollte vorsichtig sein. Der Download-Link soll einen Wurm namens "Landis.q" auf den Rechner schaufeln. Die Virenforscher bei F-Secure berichten über eine Website, auf der eine vorgebliche Beta-Version des MSN Messengers 8 angeboten wurde.

Auf der inzwischen nicht mehr erreichbaren Website "msgrbeta8.com" versuchte der Betreiber den Eindruck zu erwecken, er habe eine nicht offizielle Beta-Version erhaschen können und würde diese hier "großzügig wie er sei" zur Verfügung stellen. Tatsächlich handelt es sich um einen Wurm, der nach dem Herunterladen und Aufrufen der Datei "beta8webinstall.exe" über den vorhandenen MSN Messenger Download-Links mit dem Text "MSN Messenger 8 Working BETA" versendet. Diese Links enthalten auch die Mail-Adresse des Empfängers, zum Beispiel "msgrbeta8.com/im.php?msn=name@domain".

Außerdem nimmt er Kontakt zum Kontrollrechner eines Botnets auf und holt sich von dort Instruktionen. Nach Angaben von F-Secure stammt der zunächst als "Virkel.F" bezeichnete Wurm von dem IM-Wurm "Kelvir" ab, dessen Quelltext vor einiger Zeit veröffentlicht wurde. Die Botnet-Komponente wurde dem neuen Abkömmling zusätzlich beigefügt.

Erkennung durch Antivirus-Programme:

Antivirus

Malware-Name

AntiVir

-/-

Avast!

-/-

AVG

-/-

BitDefender

Backdoor.Landis.Q

ClamAV

-/-

Command AV

W32/Chod.H

Dr Web

BackDoor.Generic.1228

eSafe

Win32.Landis.q

eTrust-INO

Win32/Kelvir.BN!Worm

eTrust-VET

Win32/Nochod.V

Ewido

Backdoor.Landis.q

F-Prot

W32/Chod.H

F-Secure

Backdoor.Win32.Landis.q

Fortinet

W32/Virkel.F!net

Ikarus

suspicious

Kaspersky

Backdoor.Win32.Landis.q

McAfee

W32/NoChod@MM *)

Nod32

Win32/VB.AAM trojan

Norman

-/-

Sophos

W32/Chode-Q

Symantec

W32.Chod.D *)

Trend Micro

WORM_VIRKEL.B

*) noch nicht in den offiziellen Updates enthalten

0 Kommentare zu diesem Artikel
117662