Anzeige

Achtung: Hinter Trojaner-Scanner steckt ein Wurm (Update)

Nach kurzer Zeit erreicht der Wurm I-Worm/ANTS3 bereits hohe Verbreitung

Seit kurzem geistert ein neuer Wurm durch die E-Mail-Dickichte, der sich als das kostenlose Trojaner-Scanprogramm ANTS ausgibt. Tatsächlich ist es aber ein Wurm, der die Festplatte nach E-Mail-Adressen durchsucht und sich an diese versendet. Schon nach kurzer Zeit konnte sich der Wurm I-Worm/ANTS3 besonders im deutschsprachigen Internet sehr stark verbreiten.

Anzeige

Der Wurm I-Worm/ANTS3 trägt als Absender eine gefälschte E-Mail-Adresse des Programmautors Andreas Haak und suggeriert so, dass der Autor von ANTS die Software verschickt hätte. Wird die angehängte Exe-Datei "ants3set.exe" ausgeführt, nistet sich der Wurm gut versteckt ins System und verbreitet sich via E-Mail.

Dazu durchsucht er nicht nur das Outlook-Adressbuch, sondern auch alle Dateien mit den Endungen .php, .htm, .shtm, .cgi sowie .pl nach E-Mail-Adressen und versendet sich an diese, ähnlich wie man es schon von SirCam kennt. Für den Versand muss nicht einmal Outlook installiert sein, weil der Wurm eine SMTP-Komponente enthält. Nach einem erfolgreichen Versandvorgang, bei dem nur ein Adressat im To-Feld steht und alle weiteren E-Mail-Adressen im BCC-Feld landen, wiederholt der Wurm den Versand im Abstand von 5 Minuten.

Die E-Mail erkennt man an dem Betreff "ANTS Version 3.0" und dem Nachrichtentext:

"Hi,

Anhängend die neue Version 3.0 von ANTS, 
dem bislang einzigartigen kostenlosen 
Trojanerscanner. Zum installieren einfach 
die angefügte Datei ausführen.

Attached you will find the brand new 
Version 3.0 of ANTS, the unique freeware 
trojan scanner. To install ANTS simply 
run the attached setup file.

Adieu, Andreas
webmaster@avnetwork.de
http://www.ants-online.de"

Im Dateianhang befindet sich die Datei "ants3set.exe", die man auf keinen Fall starten sollte.

Denn die Ausführung der Datei nistet sich so versteckt in ein Windows-System ein, so dass nicht mal eine Infektion ohne weiteres festzustellen ist. Er legt Dateien mit wechselnden Bezeichnungen ab und trägt sich mit ebenfalls wechselnden Werten in die Registry ein. Bei jedem Rechner-Neustart ändert er sowohl Dateinamen als auch Registry-Eintrag. Dadurch fällt es schwer, eine Infektion zu erkennen.

Schon nach kurzer Zeit konnte sich der Wurm quer über den Erdball verbreiten. Das Besondere daran ist, dass der Mail-Text auch in deutscher Sprache gehalten ist. So sollen bereits zahlreiche namhafte Firmen wie die Deutsche Telekom, Microsoft, Activision, Intel, IBM und Corel infiziert sein.

Eine Entfernung des Wurms gestaltet sich schwierig, aber Andreas Haak, der Autor von ANTS, will noch am Morgen des 25. Oktober einen Scanner fertig gestellt haben, den er unter Trojaner-Info.de zur Verfügung stellen will.

Update
Am Abend des 25. Oktober stellte Andreas Haak unter Trojaner-Info.de kostenlos ein Scan-Programm zum Download bereit, das den ANTS-Wurm aus dem System entfernen kann. Je nach verwendeter Sprache des Betriebssystems steht ein Download-Archiv in deutscher und englischer Sprache bereit. Außerdem veröffentlichte Andreas Haack auf seiner Homepage ANTS-online eine Stellungnahme zu den Vorkommnissen.


eye home zur Startseite

Kommentieren



Anzeige

  1. Java-Entwickler (m/w)
    Jetter AG, Ludwigsburg
  2. Systembetreuer RBL / Mobile Solutions (m/w)
    Die Länderbahn GmbH DLB, Neumark, Dresden
  3. Teamleiter Software-Entwicklung (m/w)
    GIGATRONIK Köln GmbH, Köln
  4. CIO / Head of IT (m/w)
    über JobLeads GmbH, Bodensee

Detailsuche



Anzeige
Top-Angebote
  1. NEU: 4 Blu-rays für 30 EUR
    (u. a. Der große Gatsby, Mad Max, Black Mass, San Andreas)
  2. NUR FÜR KURZE ZEIT: Adobe Photoshop Elements & Premiere Elements 14 (PC/Mac)
    69,90€ inkl. Versand
  3. NEU: Blu-rays zum Sonderpreis

Weitere Angebote


Folgen Sie uns
       

  1. Betriebssystem

    Noch einen Monat Gratis-Upgrade auf Windows 10

  2. Anki Cozmo

    Kleiner Roboter als eigensinniger Spielkamerad

  3. Alfieri

    Maserati will Elektrosportwagen bauen

  4. Google Bloks

    Programmcode zum Anfassen

  5. Gehalt.de

    Was Frauen in IT-Jobs verdienen

  6. Kurzstreckenflüge

    Lufthansa verspricht 15 MBit/s für jeden an Bord

  7. Anonymisierungsprojekt

    Darf ein Ex-Geheimdienstler für Tor arbeiten?

  8. Schalke 04

    Erst League of Legends und nun Fifa

  9. Patentverletzungen

    Qualcomm verklagt Meizu

  10. Deep Learning

    Algorithmus sagt menschliche Verhaltensweisen voraus



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smart City: Der Bürger gestaltet mit
Smart City
Der Bürger gestaltet mit
  1. Vernetztes Fahren Bosch will (fast) alle Parkplatzprobleme lösen

Vorratsdatenspeicherung: Vorgaben übertreffen laut Eco "schlimmste Befürchtungen"
Vorratsdatenspeicherung
Vorgaben übertreffen laut Eco "schlimmste Befürchtungen"
  1. Vorratsdatenspeicherung Alarm im VDS-Tresor
  2. Neue Snowden-Dokumente NSA lobte Deutschlands "wesentliche" Hilfe im Irak-Krieg
  3. Klage Verwaltungsgericht soll Vorratsdatenspeicherung stoppen

Rust: Ist die neue Programmiersprache besser?
Rust
Ist die neue Programmiersprache besser?
  1. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie man Geschworene am besten verwirrt

  1. Re: Liste an Ländern, die ich besuchen will sinkt ...

    RienSte | 07:57

  2. Re: Leidige Frage - gleiche Arbeit, gleicher Lohn

    DerWeise | 07:56

  3. Re: Ich sehe folgendes Problem

    TTX | 07:50

  4. Wie lange laufen die Server?

    Allandor | 07:48

  5. Re: ÖRR ja, aber bitte nicht so!

    Stippe | 07:48


  1. 08:00

  2. 07:48

  3. 07:32

  4. 07:15

  5. 18:37

  6. 17:43

  7. 17:29

  8. 16:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel