AIM-Wurm nutzt Trubel um Windows Genuine Advantage

Wurmschreiber machen sich den Trubel um Microsofts WGA-Pläne zunutze und setzen dabei auf die Leichtgläubigkeit der Anwender.

In Pocket speichern vorlesen Druckansicht 132 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Christiane Rütten

Ein neuer Wurm gibt sich als Dienst für Windows Genuine Advantage aus. Der W32/Cuebot-K genannte Schädling verbreitet sich laut Virenspezialist Sophos ausschließlich über den Instant-Messenger-Dienst AIM von AOL. Er kommt als ausführbare Datei auf den Rechnern potenzieller Opfer an. Einmal von einem leichtgläubigen Anwender gestartet, kopiert er sich als wgavn.exe ins Windows-Systemverzeichnis und verankert sich unter dem Namen "Windows Genuine Advantage Validation Notification" in der Registry, um auch nach einem Neustart aktiviert zu werden. Außerdem verändert Cuebot diverse Sicherheits- und Firewall-Einstellungen. Durch eine Hintertür nimmt er – vermutlich über eine Verbindung zu einem IRC-Server – Befehle von seinem Verbreiter entgegen. Laut Sophos konnte sich der Wurm bislang aber nur wenig verbreiten.

Durch die geschickte Namenswahl dürften viele Anwender die verdächtigen Dateien und Registry-Einträge als ungefährlich einschätzen, sofern sie sie überhaupt bemerken. In den vergangenen Wochen wurde bereits mehrfach von einer geplanten WGA-Zwangsinstallation berichtet. Microsoft möchte mit den Echtheitsprüfungen nach eigenen Aussagen Produktfälschungen auf die Schliche kommen. Grundsätzlich verteilt Microsoft jedoch keine Software über Instant-Messenger-Dienste. Bei allen Dateien, die ungefragt über solche Dienste angeboten werden, ist immer größtes Misstrauen geboten. Das Beste ist, sie sofort zu löschen oder gar nicht erst anzunehmen.

Siehe dazu auch: (cr)