Online-Gemeinschaften, auch als soziale Netzwerke bezeichnet, stellen mit ihren großen Nutzerzahlen ein interessantes Ziel für Malware-Angriffe dar. Googles Variante eines sozialen Netzwerks heißt Orkut und ist wie Myspace oder Facebook nicht zum ersten Mal Zielscheibe eines Wurmangriffs. Der Wurm “W32.Scrapkut” nutzt, wie schon frühere Orkut-Würmer, die so genannten Scrapbooks von Orkut, eine Art Gästebuch, das zu einem Nutzerprofil gehört.
Wie Silas Barnes und Liam O’Murchu beschreiben die Ausbreitungstechnik des Wurms Symantec Security Response Weblog . Im Scrapbook eines Orkut-Nutzer taucht ein Bild einer spärlich bekleideten Frau auf, das wie ein Flash-Film von YouTube erscheinen soll. Wer darauf klickt, bekommt jedoch kein Video zu sehen, sondern wird auf eine externe Website geleitet. Dort soll er eine Datei “flashx_player_9.8.0.exe”, die angeblich benötigt wird, um das Video anzeigen zu können.
Wird diese Programmdatei ausgeführt, lädt sie drei weitere Schädlinge aus dem Internet herunter. Diese laden wiederum weitere Malware nach. Hauptkomponente zur weiteren Verbreitung von W32.Scrapkut ist die Datei “logservicess.exe”, die als “maindwxp.exe” gleich an vier Stellen auf der Festplatte kopiert und beim Starten von Windows geladen wird.
Sie nimmt Kontakt mit dem Kontroll-Server der Malware-Programmier auf und meldet die Infektion des Rechners. Dann wartet das Programm, bis der Benutzer Orkut aufruft. Sobald er sich dort angemeldet hat, schleust der Schädling Javascript-Code in die aktive Orkut-Sitzung ein. Der Code basiert auf einem Script für die beliebte Firefox-Erweiterung GreaseMonkey und sendet einen Scrapbook-Eintrag an alle Orkut-Kontakte des Opfers. Somit kann der nächste Zyklus der Ausbreitung beginnen.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.