Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Trojaner LEAVE tarnt sich als Windows-Patch

Vorinfektion mit SubSeven zur Funktion notwendig. Der Antivirenspezialist Kaspersky Lab warnt Computeranwender vor einer neuen Version des Internet-Wurms I-Worm.Leave, die sich im Netz als Microsoft-Meldung verbreitet.
/ Andreas Donath
Kommentare News folgen (öffnet im neuen Fenster)

Die Meldung enthält Informationen über ein Sicherheits-Update für Windows, aber die angeführte Internet-Adresse des zweifelhaften "Patches" ist verfälscht worden – die nicht näher bezeichnete Adresse sei der URL von Microsoft ähnlich, so dass nur aufmerksame User den Unterschied bemerken.

Bei seiner Aktivierung versucht der Virus, die Datei cvr58-ms.exe herunterzuladen, die ein Trojaner-Programm enthält. Kaspersky Lab erhielt bereits einige Meldungen über Infektionen durch diese Variante von "Leave". Eine Besonderheit des Trojaners ist die Möglichkeit, sich via Internet automatisch zu aktualisieren, d.h. für den Anwender unmerklich zusätzliche Komponenten herunterzuladen und zu aktivieren (EXE-Dateien). Das ermöglicht die Fernsteuerung der infizierten Computer. Der Virus besitzt unter anderem folgende Möglichkeiten: Automatische Aktivierung, Verbreitung durch IRC-Kanäle (Internet Relay Chat) sowie Erzeugen, Bearbeiten und Löschen von Dateien auf dem infizierten Computer.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)
Senior Entwickler (m/w/d) Frontend und/oder Backend Deutsche Rentenversicherung Baden-Württemberg, Karlsruhe,Stuttgart (öffnet im neuen Fenster)
Cyber Defence Center Lead (m/w/d) Heidelberger Druckmaschinen AG, Wiesloch (öffnet im neuen Fenster)
Fachinformatiker Systemintegration (m/w/d) KNDS Deutschland Mission Electronics GmbH, Konstanz (öffnet im neuen Fenster)
Cyber Security Spezialist (m/w/d) VOLTARIS GmbH, Maxdorf,Merzig (öffnet im neuen Fenster)
DMS Solution Engineer (m/w/d) WG SYSTEMS e.K., Berlin (öffnet im neuen Fenster)
Team Leader Customer Management (m/w/d) auxmoney GmbH, Düsseldorf (öffnet im neuen Fenster)
Leitstandsmanager (w/m/d) Bw Bekleidungsmanagement GmbH, Walsrode (öffnet im neuen Fenster)
Anwendungsentwickler (m/w/d) Algorithm Development & 3D-Data Processing BEGO Medical GmbH, Bremen (öffnet im neuen Fenster)

Der Internet-Wurm 'Leave' kann Computer nicht nur unter Windows 95/98/ME, sondern auch unter Windows NT/2000 befallen. Beim Starten der Hauptkomponente kopiert sich der Wurm ins Windows-Verzeichnis unter dem Namen REGSV.EXE und trägt diese Datei in den Autostart-Bereich der Windows-Registry ein. Code und Zusatzmodule des Virus sind mit einem 64-Bit-Algorithmus verschlüsselt.

Wichtig ist hierbei allerdings, dass dieser Internet-Wurm nur Rechner angreift, die bereits mit dem Trojaner "Subseven" infiziert sind. Der Hauptbestandteil des Wurms enthält einen Text-String mit einem Master-Passwort für das Hintertür- Programm SubSeven. Auf diese Weise kann der Wurm auch weitere Rechner infizieren, auf denen SubSeven bereits installiert ist, und sich selbst auf den entsprechenden Systemen installieren. Um die Adressen der Ziel-Rechner zu finden, benutzt der Wurm eine Sniffer-Routine, mit deren Hilfe er das Internet nach IP-Adressen entfernter Rechner durchsucht.

Zur Startseite Kommentare

Relevante Themen

SoftwareToolsSecurityCybercrimeDatensicherheitVirusAnti-Virus