Tweet
Das Sicherheits-Unternehmen Sophos warnt vor drei derzeit verstärkt kursierenden Würmern. Zwar scheinen die digitalen Schädlingen keinen oder nur geringen Schaden am befallenen System anzurichten, sie belasten jedoch das Internet durch vermehrten Traffic und nerven Mail-Anwender durch überfüllte Postfächer.
W32/Lovgate-AJ verbreitet sich via Mail, Laufwerksfreigaben und Filesharing-Netzwerken. Wenn ein Anwender den Wurm durch einen Doppelklick startet, kopiert dieser sich unter anderem als "RAVMOND.exe", "hxdef.exe" und "IEXPLORE.EXE" in das Windows-Verzeichnis. Die Malware legt zudem eine Reihe von Registry-Einträgen an.
Der Wurm scheint keine eigentliche Schadroutine zu besitzen, er soll Sophos zufolge aber weit verbreitet sein.
Ähnlich stark verbreitet ist W32/Bagle-AI, obwohl er sich nur über Mails neue Opfer sucht. Einmal aktiviert durchforstet er einen infizierten Rechner nach Mailadressen und verschickt sich an diese, wobei er allerdings bestimmte Mailadressen wie beispielsweise Microsoft oder Winrar meidet.
Konkret durchsucht er Dateien mit folgender Endung nach Mailkontakten: WAB, TXT, MSG, HTM, SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, WSH, ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM und JSP.
Mit seinem eigenem SMTP-Server verschickt sich der Wurm dann als HTML-Mail mit einer angehängten Datei, die einen der folgenden Namen trägt: MP3, Music_MP3, New_MP3_Player, Cool_MP3, Doll, Garry, Cat, Dog, Fish. Die Datei-Endung lautet ZIP (eventuell zusätzlich mit einem JPEG), CPL, EXE, COM oder SCR.
In der Betreffzeile steht ein simples "Re:". Der Mailtext umfasst Textbausteine wie:
"foto3 and MP3"
"fotogalary and Music"
"fotoinfo"
"lovely animals"
"animals"
"predators"
"the snake"
"screen and music"
Falls das Attachement eine passwortgeschützte ZIP-Datei ist, steht im Mailtext noch:
"Password:", oder "Pass –" oder "Key –".
W32/Bagle-AI versucht die Registry-Einträge bestimmter Sicherheits-Programme zu beseitigen und kopiert sich als winxp.exe in das Windowsverzeichnis sowie in eine Reihe weiterer Ordner. Problematisch ist diese Malware, weil sie versucht, einen Backdoor auf dem befallenen Rechner zu installieren, wie das BSI berichtet.
Auch W32/MyDoom-N alias I-Worm.Mydoom-l ist munter im World Wide Web unterwegs. Sophos will bereits einige Meldungen über diesen Wurm erhalten haben, eine Beschreibung seiner Wirkung liefert das Unternehmen aber noch nicht.
W32/Lovgate-AJ verbreitet sich via Mail, Laufwerksfreigaben und Filesharing-Netzwerken. Wenn ein Anwender den Wurm durch einen Doppelklick startet, kopiert dieser sich unter anderem als "RAVMOND.exe", "hxdef.exe" und "IEXPLORE.EXE" in das Windows-Verzeichnis. Die Malware legt zudem eine Reihe von Registry-Einträgen an.
Der Wurm scheint keine eigentliche Schadroutine zu besitzen, er soll Sophos zufolge aber weit verbreitet sein.
Ähnlich stark verbreitet ist W32/Bagle-AI, obwohl er sich nur über Mails neue Opfer sucht. Einmal aktiviert durchforstet er einen infizierten Rechner nach Mailadressen und verschickt sich an diese, wobei er allerdings bestimmte Mailadressen wie beispielsweise Microsoft oder Winrar meidet.
Konkret durchsucht er Dateien mit folgender Endung nach Mailkontakten: WAB, TXT, MSG, HTM, SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, WSH, ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM und JSP.
Mit seinem eigenem SMTP-Server verschickt sich der Wurm dann als HTML-Mail mit einer angehängten Datei, die einen der folgenden Namen trägt: MP3, Music_MP3, New_MP3_Player, Cool_MP3, Doll, Garry, Cat, Dog, Fish. Die Datei-Endung lautet ZIP (eventuell zusätzlich mit einem JPEG), CPL, EXE, COM oder SCR.
In der Betreffzeile steht ein simples "Re:". Der Mailtext umfasst Textbausteine wie:
"foto3 and MP3"
"fotogalary and Music"
"fotoinfo"
"lovely animals"
"animals"
"predators"
"the snake"
"screen and music"
Falls das Attachement eine passwortgeschützte ZIP-Datei ist, steht im Mailtext noch:
"Password:", oder "Pass –" oder "Key –".
W32/Bagle-AI versucht die Registry-Einträge bestimmter Sicherheits-Programme zu beseitigen und kopiert sich als winxp.exe in das Windowsverzeichnis sowie in eine Reihe weiterer Ordner. Problematisch ist diese Malware, weil sie versucht, einen Backdoor auf dem befallenen Rechner zu installieren, wie das BSI berichtet.
Auch W32/MyDoom-N alias I-Worm.Mydoom-l ist munter im World Wide Web unterwegs. Sophos will bereits einige Meldungen über diesen Wurm erhalten haben, eine Beschreibung seiner Wirkung liefert das Unternehmen aber noch nicht.
Kommentar