|
Post by joggl on Feb 4, 2005 13:42:19 GMT 1
Trend Micro warnt vor "WORM_BROPIA.F", der sich via MSN Messenger verbreitet. Bislang wurden Infektionen vorwiegend aus den USA und aus Asien gemeldet, Europa kann jedoch auch noch (aufgrund der Zeitverschiebung) an die Reihe kommen. Bei Symantec wird dieser Wurm als "W32.Bropia.J", bei McAfee als "W32/Bropia.worm.g" bezeichnet und die von ihm ausgehende reale Gefahr unterschiedlich bewertet.
Der Wurm legt eine Kopie von sich als "msnus.exe" im System32-Verzeichnis an und zeigt zunächst ein Bild an (sexy.jpg, 38 KB). Er schleust einen zweiten Schädling ein, mit dem der befallene PC durch Dritte ferngesteuert werden kann. Virenscanner erkennen diesen zweiten Wurm als "WORM_AGOBOT.AJC" (Trend Micro), "W32.Spybot.Worm" (Symantec) beziehungsweise "W32/Gaobot.worm.gen.l&qu ot; (McAfee). Er wird mit dem Dateinamen "winhost.exe" im System32-Verzeichnis von Windows abgelegt. Er fügt den Eintrag '"win32" = winhost.exe' in folgende Registry-Schlüsseln ein:
HKEY_CURRENT_USER\Software\Mic rosoft\OLE HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Run HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \RunServices "win32" = winhost.exe
WORM_BROPIA.F legt ferner eine Kopie von sich als PIF-Datei (188 KB) unter C:\ ab. Er überwacht den Status von eingetragenen Kontakten im MSN Messenger und sendet sich an diese, sobald sich ihr Status ändert. Er stellt die Lautstärke der Soundkarte auf Null, damit Warnmeldungen überhört werden. Nehmen Sie generell keine Dateien an, die Ihnen unaufgefordert über Messenger-Programme angeboten werden, auch wenn sie scheinbar von Bekannten kommen.
|
|