Weihnachtswurm-Reigen eröffnet
Der jährliche Weihnachtswurm-Reigen wurde jüngst von MerryX.A eröffnet, meldet Panda Software. IMlogic berichtet derweil vom Instant-Messenger-Weihnachtswurm IM.GiftCom.All.
Die jährliche Weihnachtswurm-Welle wurde jüngst von MerryX.A eröffnet, meldet Panda Software. Der Schädling trudelt in Form einer E-Mail mit der Betreffzeile "Merry Christmas!" ins Haus und trägt im Body nur die Nachricht "Merry Christmas and a Happy New Year!". Im Anhang bringt sie ein animiertes GIF mit, das den Schriftzug "Merry Christmas" mit blinkenden Lichtern verziert.
Das zweite Attachment der Mail hat es dann in sich: Das selbstentpackende RAR-Archiv enthält den eigentlichen Wurm unter dem Namen SQLServer.exe sowie eine Shockwave-Flash-Animation. Führt ein Empfänger dieser Mail das selbstextrahierende RAR aus, infiziert er sich den Rechner, während zur Tarnung das Flash-Filmchen mit Musikuntermalung angezeigt wird. Bei der Ausführung sammelt der Wurm Daten wie die IP-Adresse und Hardware-Informationen über den Rechner und schickt sie an einen Server ins Internet. Er versucht auch, von verschiedenen Webseiten weitere Dateien herunterzuladen – es handelt sich offenbar um einen Trojaner-Downloader.
IMlogic hat unterdessen einen Weihnachtswurm entdeckt, der sich über mehrere populäre Instant-Messaging-Systeme verbreitet, indem er einen Link auf die ausführbare Datei gift.com an alle Kontakte versendet. Wird diese Datei tatsächlich heruntergeladen und ausgeführt, scannt IM.GiftCom.All die Registry, das Dateisystem und den Browsercache. Weiterhin versucht er, diverse Antivirensoftware zu deaktivieren und versteckt sich mit Rootkit-Funktionen vor der Entdeckung mit Windows-API-Zugriffen. Auch dieser Wurm versucht, weitere Komponenten aus dem Netz nachzuladen.
Würmer, die die Arglosigkeit von Anwendern mit vermeintlichen Feiertagsgrüßen ausnutzen wollen, sind alles andere als neu. Letztes Jahr fand beispielsweise Zafi.D viele Opfer. Vermutlich leisten die regulär massenhaft versendeten Weihnachtsgrüße hier Schützenhilfe. Wie sonst auch gilt besonders zu Feiertagen, keine ungefragt zugesendeten Anhänge an E-Mails öffnen. Auch wenn die Dateiendung harmlos erscheint, ist es gut möglich, dass die Anhänge Lücken in zugehöriger Abspielsoftware auszunutzen versuchen. Und auch wenn der Absender bekannt ist, bedeutet dies nicht, dass ein Anhang unschädlich ist; Würmer bedienen sich für gewöhnlich mit E-Mail-Adressen aus den Windows-Adressbüchern und tragen diese beliebig als Absender oder Empfänger in die Mails ein.
Siehe dazu auch: (dmk)
- Santa Claus sendet einen Trojaner… MerryX.A-Meldung von Panda Software
- Wurm-Analyse über IM.GiftCom.All von IMlogic