Korgo-Wurm verunsichert Anwender [Update]
Für Verunsicherung bei Anwendern sorgen Meldungen, die Wurm-Familie Korgo spähe auf infizierten Systemen unter anderem Online-Banking-Passwörter aus. Es gibt jedoch keine Hinweise auf eine automatisch arbeitende, eingebaute Funktion.
Mittlerweile hat sich die Korgo-Wurmfamilie um ein Mitglied erweitert. Korgo.F unterscheidet sich aber kaum von den anderen Varianten. Bislang ist der Antiviren-Hersteller Symantec auch die einzige Firma, die explizit vor Korgo warnt und ihm eine hohe Gefährlichkeitsstufe einräumt. Alle anderen Hersteller haben den Wurm zwar auf dem Radar, sehen aber keine signifikante Ausbreitung, die eine Warnung vor einem Ausbruch rechtfertigen würde.
Für Verunsicherung bei Anwendern sorgen Meldungen, Korgo würde auf infizierten Systemen Online-Banking-Passwörter ausspähen und nach Kreditkartennummern suchen. Bislang hat aber noch keiner, der die Wurmfamilie genauer untersuchte, diesen Vorgang festgestellt. Korgo enthält zwar Trojanerfunktionen, öffnet Hintertüren in Richtung Internet und verbindet sich auch mit IRC-Servern, um Befehle entgegenzunehmen -- er wird aber nicht selbst aktiv. Dies bedeutet, dass ein Angreifer zuerst auf das infizierte System zugreifen muss, um es fernzusteuern oder Passwörter auszuspähen.
Systeme, die mit Korgo infiziert sind, laufen nicht automatisch Gefahr, ausgespäht zu werden. Trendmicro und F-Secure gehen nach bisherigem Kenntnisstand aber davon aus, dass auf infizierten Systemen von den Programmierern des Wurms -- Russian Hangup Team virus group -- der Keylogger Padodoor manuell über die Backdoors auf einigen Systemen nachinstalliert wird oder schon wurde. Dieser kann dann Tastatureingaben, etwa Passwörter, mitlesen und ins Internet senden.
Einen Automatismus, dass die Würmer etwa Online-Banking-Passwörter ausspähen, gibt es also nicht, sie bringen diese Funktion nicht von Haus aus mit. Allerdings ist die Wahrscheinlichkeit bei infizierten Systemen hoch, in nächster Zeit unerwünschten Besuch über das Internet zu bekommen. Anwender sollten ihr System also schleunigst vom Wurm und den Backdoors befreien.
Für Korgo gibt es Removal-Tools von Trendmicro und anderen Herstellern; vor einem Befall mit den Würmern schützt das Einspielen des Patches MS04-11 von Microsoft. Dieser Patch schließt die LSASS-Sicherheitslücke, über die sich sowohl Korgo als auch der mit verheerenden Folgen aktiv gewordene Sasser verbreiten.
Update:
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mittlerweile eine Pressemitteilung veröffentlicht, in der es "keine große Gefahr durch Internet-Wurm Korgo.F" sieht. Der Wurm sei entgegen anderslautenden Meldungen in Deutschland nicht sehr weit verbreitet. Auch laut BSI enthält der Wurm lediglich eine Hintertür, über die sich Programme nachinstallieren lassen. Diese Schadensfunktion "wurde aber nach derzeitigem Kenntnisstand bislang nicht ausgenutzt". "Für das Sperren von Kreditkarten besteht nur bei begründetem Verdacht eines Missbrauchs Anlass", schließt das BSI.
Siehe dazu auch: (dab)
- Wurmbeschreibung des BSI
- Wurmbeschreibung von Trendmicro
- Wurmbeschreibung von F-Secure
- Microsoft Security Bulletin MS04-011, Details und Patch zur LSASS-Sicherheitslücke
