Nicht nur der Bropia Wurm war während der letzten Tage eine Bedrohung für die User des MSN Messengers, auch der gefährliche Stang Wurm der erst vor kurzem erschien greift dieses Programm an. Mit dem Erscheinen von Assiral.A, der eine Textmeldung an die Bropia Würmer enthält, zeichnete sich nun mehr und mehr der Beginn eines neuen „Virenkrieges“ ab. Dieser Verdacht bestätigt sich spätestens mit dem Erscheinen von drei weiteren Würmern die sich über den MSN Messanger verbreiten: Kelvir.B, Kelvir.C und Fatso.A.
– Panda Software berichtete bereits über den Bropia.E Wurm, der mit einem gegrillten Hähnchen die Aufmerksamkeit der Medien auf sich zog. Allein 19 weitere Varianten, die alle Bropia.E sehr ähnlich sind wurden bislang entdeckt.
– Außerdem tauchten Stang.A und Stang.B in der letzten Woche auf, die auf die Selbe Weise den MSN Messenger attackieren. Stang.A und Stang.B arbeiten mit Lockrufen wie „Look at this hot naked girl“ in der Betreffzeile und „Hey look at my moms dildo!!!.pif“ als Dateianhang.
Wenn der Dateianhang ausgeführt wird senden sich die Würmer an alle in der Instant Messaging Anwendung gespeicherten Kontakte weiter und versuchen alle Security Programme wie z.B. die Windows Firewall abzuschalten. Gleichzeitig werden der Task Manager und der Registry Editor des Betriebssystems blockiert. Auf diese Weise machen es die beiden Stang Würmer dem Anwender sehr schwer sie manuell zu stoppen.
Durch das Beenden der Prozesse SVCHOST.EXE und LSASS.EXE kann es zum automatischen herunterfahren des Rechners kommen.
– Jetzt wo auch noch Assiral.A hinzukommt scheint ein ähnlicher „Wettbewerb“ zwischen den Autoren zu entstehen, wie es in 2004 bei Netsky, Bagle und Mydoom der Fall war.
Assiral.A verbreite mit seiner eMail eine Meldung, in der er kundtut, dass er das Internet von Bropia Würmern befreien wird.
– Die neuen Kelvir Würmer erreichen den Computer mit Textmeldungen wie: omg this is funny! (Kelvir.B) oder lol! see it! u’ll like it (Kelvir.C), die einen Link zu einer Webseite beinhalten. Beim Klick auf den Link werden Dateien des Wurms herunter geladen und installiert. Danach werden Nachrichten an die Kontakte aus dem MSN Messenger versendet. Gleichzeitig werden Versionen des Gaobot oder Sdbot Trojaners herunter geladen. Die beiden Trojaner erlauben Hackern durch einen IRC Chat Channel den Zugriff auf den angegriffenen Computer.
– Fatso.A sendet Nachrichten mit Links zu einer Seite, die Kopien von diesem Wurm beinhaltet, welche herunter geladen und gestartet werden. Beim Eindringen in ein System sendet er sich an alle Kontakte des MSN Messengers weiter und lädt weitere Dateien auf das System in die Root Directory herunter. Die Dateien können Annoying crazy frog getting killed.pif, Crazy frog gets killed by train!.pif oder Fat Elvis! lol.pif heißen. Fatso.A kann sich außerdem über File Sharing Systeme weiter verbreiten und Prozesse von Securityanwendungen beenden. So wie Assiral.A sich an die Bropia Würmer gewand hat so schickt Fatso.A eine recht unfreundliche Nachricht (Message to n00b LARISSA.txt) an Assiral.A und unterschreibt mit Skydevil.
Die Malwareautoren suchen immer nach dem schnellsten Weg ihre Kreationen zu verbreiten und zurzeit haben sich die Programmierer auf Instant Messaging Systeme eingeschossen. Auch wenn wir heute ohnehin schon eine hohe Konzentration auf dieses Medium haben wie nie zuvor so können wir doch mit weiteren Angriffen auf diese Anwendungen rechnen. Instant Messaging kann noch gefährlicher als eMail sein, denn bei diesen Programmen kommuniziert man i.d.R. mit Leuten denen man vertraut. Es ist also auch hier Vorsicht geboten.
