|
|
Rubrik: Virenwarnung/Aktuelle Meldungen Kaspersky Labs: "Swen" tarnt sich als Microsoft-Patch Swen nützt Schwachstelle des Internet Explorers, in die schon Klez in PCs eingedrungen ist (22.09.03) - Kaspersky Labs warnt vor einem neuen Internet-Wurm. "Swen" verbreitet sich per E-Mail, dem Peer-to-Peer-Netzwerk Kazaa und IRC-Channels. Infizierte Meldungen geben vor, von verschiedenen Microsoft-Diensten wie MS Technical Assistance, Microsoft Internet Security Solution etc. zu stammen. Der Text der Nachricht empfiehlt dem Anwender einen der Mail beigefügten "speziellen Patch" von Microsoft zu installieren. Kaspersky Labs rechnet bislang mit Zehntausenden Swen-Infektionen weltweit bei steigender Anzahl.
Anzeige
Altbekannte Schlupflöcher Swen nützt die selbe im März 2001 entdeckte Schwachstelle des Internet Explorers, in die schon zahlreiche andere bekannt gewordene Würmer wie Klez in PCs eingedrungen sind. Einmal auf einem ungeschützten Rechner aktiviert, verbreitet sich Swen von selbst. Die neue Malware ist in Microsoft Visual C++ programmiert und 107 KB groß. Der Wurm aktiviert sich in zweierlei Fällen: wenn die infizierte Datei ausgeführt wird oder das E-Mail-Programm die Schwachstelle IFrame.FileDownload besitzt. Swen installiert sich dann selbständig in das System und vervielfältigt sich. Tarnen und täuschen Wird das Attachement das erste Mal geöffnet, erscheint ein Fenster auf dem Bildschirm, das sich "Microsoft Internet Update Pack" nennt und ahmt die Installation eines Patches nach. Gleichzeitig blockiert der bösartige Code sämtliche Firewall- und Anti-Virus-Software. Dann scannt Swen das Dateisystem des infizierten Computers, extrahiert sämtliche E-Mail-Adressen und verschickt sich selbst an alle verfügbaren Adressen über eine direkte Verbindung zu einem SMTP-Server. Die infizierten Mails sind im HTML-Format und enthalten wiederum ein Attachement mit Swen. In einigen Fällen kann der Wurm auch Kopien von sich im ZIP- oder RAR-Format schicken. Doppelte Gefahr Swen verbreitet sich über das Kazaa-Netzwerk, indem er sich unter zufällig gewählten Namen in das Filesharing-Verzeichnis in Kazaa Lite kopiert. Er erstellt auch ein Unterverzeichnis im Windows Temp-Verzeichnis mit zufällig gewählten Namen und erstellt verschiedene Kopien mit wiederum zufälligen Namen. Dieses Verzeichnis wird dann in der Windows System Registry als Quelle des File Sharing-Systems identifiziert. Die Folge: die von Swen neu geschaffenen Dateien werden für andere Kazaa-Anwender zu einer Bedrohung. Für die Verbreitung über IRC scannt der Wurm den Rechner nach installierten mIRC Clients. Wird er fündig, modifiziert er die Script.ini-Datei und fügt ihr seine Verviefältigungs-Prozeduren ein. Dadurch sendet diese Datei infizierte Dateien aus dem Windows Directory an alle Anwender, die sich in dem infizierten IRC-Channel befinden. Schutzverfahren gegen Swen sind der Antiviren-Datenbank von "Kaspersky Anti-Virus" bereits hinzugefügt worden. Detaillierte Informationen über diese Malware sind zudem in der Kaspersky Virus Encyclopedia zu finden. (ma) Kaspersky Labs Ansprechpartner: Denis Zenkin Tel. (007-095) 9485650, Fax (007-095) 9484331 E-Mail: denis.zenkin@kaspersky.com Ansprechpartner: Andreas Lamm Tel. (0700) 55010000, Fax (0700) 55010001 E-Mail: Andreas.Lamm@de.kaspersky.com Web: www.kaspersky.com |
