Rubrik: Virenwarnung/Aktuelle Meldungen

BROPIA.F verbreitet sich über Instant Messaging

Aktuell dürften vor allem vor allem Privatanwender gefährdet sein

(05.02.05) - Der Malicious Code BROPIA.F verbreitet sich über den MSN Messenger, eine der populärsten Instant Messaging- (IM-)Plattformen. Trend Micro hat einen globalen Yellow Alert ausgelöst, um die Ausbreitung des Wurms zu verhindern.

Viele Unternehmen blockieren bereits die Verwendung von Instant Messaging Programmen durch ihre Mitarbeiter. Dabei stand bislang der Schutz der Produktivität im Vordergrund. Der Schadteil (Payload) umfasst darüber hinaus den AGOBOT-Wurm, der auf infizierten Systemen Hintertüren öffnen kann. Bislang wurde das Auftreten von WORM_BROPIA.F aus den USA, Taiwan, China und Korea gemeldet.

WORM_AGOBOT.AJC beweist jetzt, dass IM auch hinsichtlich der Unternehmenssicherheit streng kontrolliert werden muss. Aufgrund der übergreifenden Popularität von Instant Messaging dürften aktuell vor allem Privatanwender gefährdet sein. Der Wurm setzt gezielt Humor ein, um Nutzer über die Infektion ihres Systems und die Installation von Backdoors hinwegzutäuschen."

Nach der Infektion eines Systems versucht WORM_BROPIA.F, Kopien von sich an alle aufge-fundenen Online-Kontakte zu versenden. Dabei tarnt sich der Wurm als Bilddatei und verwendet verschiedene, neugierig machende Namen. Tatsächlich erhalten Anwender das Foto eines gebratenen Hühnchens, auf dem sich die Umrisse eines Bikinis abzeichnen.

Nach dem Start legt der Speicher-residente Wurm zunächst eine Kopie von sich im Windows-Systemordner ab und versucht daraufhin, sich an andere Anwender des MSN Messenger zu versenden. Die infizierten Dateien können einen der folgenden Namen tragen:

·         Bedroom-thongs.pif

·         Hot.pif

·         LMAO.pif

·         LOL.scr

·         Naked_drunk.pif

·         New_webcam.pif

·         ROFL.pif

·         Underware. Pif

·         Webcam.pif

Darüber hinaus wird die Datei "SEXY.JPG" ausgeführt. Das Foto zeigt ein gebratenes Huhn, das im Ofen offensichtlich einen Bikini getragen hat.

Auf dem infizierten System legt WORM_BROPIA.F zudem ein Bot-Programm (WORM_AGOBOT.AJC) ab. Dieser Malicious Code installiert eine Backdoor (Hintertür) und ermöglicht so die Ausführung von Aktionen durch einen Hacker. WORM_AGOBOT.AJC verfügt außerdem über die Fähigkeit, die Windows Produkt ID sowie CD-Schlüssel bestimmter anderer Applikationen zu stehlen.

Die mit WORM_BROPIA.F infizierte Datei hat eine Größe von 19KB. Gefährdet sind Systeme mit Windows 95, 98, ME, NT, 2000 und XP. (Trend Micro: ma)