Abo
  • Services:
Anzeige

Trojaner LEAVE tarnt sich als Windows-Patch

Vorinfektion mit SubSeven zur Funktion notwendig

Der Antivirenspezialist Kaspersky Lab warnt Computeranwender vor einer neuen Version des Internet-Wurms I-Worm.Leave, die sich im Netz als Microsoft-Meldung verbreitet.

Anzeige

Die Meldung enthält Informationen über ein Sicherheits-Update für Windows, aber die angeführte Internet-Adresse des zweifelhaften "Patches" ist verfälscht worden - die nicht näher bezeichnete Adresse sei der URL von Microsoft ähnlich, so dass nur aufmerksame User den Unterschied bemerken.

Bei seiner Aktivierung versucht der Virus, die Datei cvr58-ms.exe herunterzuladen, die ein Trojaner-Programm enthält. Kaspersky Lab erhielt bereits einige Meldungen über Infektionen durch diese Variante von "Leave". Eine Besonderheit des Trojaners ist die Möglichkeit, sich via Internet automatisch zu aktualisieren, d.h. für den Anwender unmerklich zusätzliche Komponenten herunterzuladen und zu aktivieren (EXE-Dateien). Das ermöglicht die Fernsteuerung der infizierten Computer. Der Virus besitzt unter anderem folgende Möglichkeiten: Automatische Aktivierung, Verbreitung durch IRC-Kanäle (Internet Relay Chat) sowie Erzeugen, Bearbeiten und Löschen von Dateien auf dem infizierten Computer.

Der Internet-Wurm 'Leave' kann Computer nicht nur unter Windows 95/98/ME, sondern auch unter Windows NT/2000 befallen. Beim Starten der Hauptkomponente kopiert sich der Wurm ins Windows-Verzeichnis unter dem Namen REGSV.EXE und trägt diese Datei in den Autostart-Bereich der Windows-Registry ein. Code und Zusatzmodule des Virus sind mit einem 64-Bit-Algorithmus verschlüsselt.

Wichtig ist hierbei allerdings, dass dieser Internet-Wurm nur Rechner angreift, die bereits mit dem Trojaner "Subseven" infiziert sind. Der Hauptbestandteil des Wurms enthält einen Text-String mit einem Master-Passwort für das Hintertür- Programm SubSeven. Auf diese Weise kann der Wurm auch weitere Rechner infizieren, auf denen SubSeven bereits installiert ist, und sich selbst auf den entsprechenden Systemen installieren. Um die Adressen der Ziel-Rechner zu finden, benutzt der Wurm eine Sniffer-Routine, mit deren Hilfe er das Internet nach IP-Adressen entfernter Rechner durchsucht.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Bechtle Onsite Services GmbH, Augsburg
  2. über Hays AG, Nordrhein-Westfalen
  3. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg
  4. Robert Bosch GmbH, Leonberg


Anzeige
Blu-ray-Angebote
  1. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)

Folgen Sie uns
       

  1. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund

  2. Kabelnetz

    Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

  3. Virtuelle Güter

    Activision patentiert Förderung von Mikrotransaktionen

  4. Nervana Neural Network Processor

    Intels KI-Chip erscheint Ende 2017

  5. RSA-Sicherheitslücke

    Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

  6. The Evil Within 2 im Test

    Überleben in der Horror-Matrix

  7. S410

    Getacs modulares Outdoor-Notebook bekommt neue CPUs

  8. Smartphone

    Qualcomm zeigt 5G-Referenz-Gerät

  9. Garmin Speak

    Neuer Alexa-Lautsprecher fürs Auto zeigt den Weg an

  10. Datenrate

    Kunden wollen schnelle Internetzugänge



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Anbieterbezeichnung so langsam überholt

    Golressy | 02:39

  2. Re: Macht da bitte nicht mit

    sofries | 02:33

  3. Re: Activision patentiert Förderung von Krebs

    sofries | 02:17

  4. Re: Kosten ...

    DAUVersteher | 02:11

  5. Re: 50MBps

    bombinho | 02:01


  1. 19:09

  2. 17:40

  3. 17:02

  4. 16:35

  5. 15:53

  6. 15:00

  7. 14:31

  8. 14:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel