Abo
  • Services:
Anzeige

Achtung: Hinter Trojaner-Scanner steckt ein Wurm (Update)

Nach kurzer Zeit erreicht der Wurm I-Worm/ANTS3 bereits hohe Verbreitung

Seit kurzem geistert ein neuer Wurm durch die E-Mail-Dickichte, der sich als das kostenlose Trojaner-Scanprogramm ANTS ausgibt. Tatsächlich ist es aber ein Wurm, der die Festplatte nach E-Mail-Adressen durchsucht und sich an diese versendet. Schon nach kurzer Zeit konnte sich der Wurm I-Worm/ANTS3 besonders im deutschsprachigen Internet sehr stark verbreiten.

Anzeige

Der Wurm I-Worm/ANTS3 trägt als Absender eine gefälschte E-Mail-Adresse des Programmautors Andreas Haak und suggeriert so, dass der Autor von ANTS die Software verschickt hätte. Wird die angehängte Exe-Datei "ants3set.exe" ausgeführt, nistet sich der Wurm gut versteckt ins System und verbreitet sich via E-Mail.

Dazu durchsucht er nicht nur das Outlook-Adressbuch, sondern auch alle Dateien mit den Endungen .php, .htm, .shtm, .cgi sowie .pl nach E-Mail-Adressen und versendet sich an diese, ähnlich wie man es schon von SirCam kennt. Für den Versand muss nicht einmal Outlook installiert sein, weil der Wurm eine SMTP-Komponente enthält. Nach einem erfolgreichen Versandvorgang, bei dem nur ein Adressat im To-Feld steht und alle weiteren E-Mail-Adressen im BCC-Feld landen, wiederholt der Wurm den Versand im Abstand von 5 Minuten.

Die E-Mail erkennt man an dem Betreff "ANTS Version 3.0" und dem Nachrichtentext:

"Hi,

Anhängend die neue Version 3.0 von ANTS, 
dem bislang einzigartigen kostenlosen 
Trojanerscanner. Zum installieren einfach 
die angefügte Datei ausführen.

Attached you will find the brand new 
Version 3.0 of ANTS, the unique freeware 
trojan scanner. To install ANTS simply 
run the attached setup file.

Adieu, Andreas
webmaster@avnetwork.de
http://www.ants-online.de"

Im Dateianhang befindet sich die Datei "ants3set.exe", die man auf keinen Fall starten sollte.

Denn die Ausführung der Datei nistet sich so versteckt in ein Windows-System ein, so dass nicht mal eine Infektion ohne weiteres festzustellen ist. Er legt Dateien mit wechselnden Bezeichnungen ab und trägt sich mit ebenfalls wechselnden Werten in die Registry ein. Bei jedem Rechner-Neustart ändert er sowohl Dateinamen als auch Registry-Eintrag. Dadurch fällt es schwer, eine Infektion zu erkennen.

Schon nach kurzer Zeit konnte sich der Wurm quer über den Erdball verbreiten. Das Besondere daran ist, dass der Mail-Text auch in deutscher Sprache gehalten ist. So sollen bereits zahlreiche namhafte Firmen wie die Deutsche Telekom, Microsoft, Activision, Intel, IBM und Corel infiziert sein.

Eine Entfernung des Wurms gestaltet sich schwierig, aber Andreas Haak, der Autor von ANTS, will noch am Morgen des 25. Oktober einen Scanner fertig gestellt haben, den er unter Trojaner-Info.de zur Verfügung stellen will.

Update
Am Abend des 25. Oktober stellte Andreas Haak unter Trojaner-Info.de kostenlos ein Scan-Programm zum Download bereit, das den ANTS-Wurm aus dem System entfernen kann. Je nach verwendeter Sprache des Betriebssystems steht ein Download-Archiv in deutscher und englischer Sprache bereit. Außerdem veröffentlichte Andreas Haack auf seiner Homepage ANTS-online eine Stellungnahme zu den Vorkommnissen.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. diconium GmbH, Stuttgart
  2. TOMRA Sorting GmbH, Mülheim-Kärlich
  3. Loh Services GmbH & Co. KG, Monheim am Rhein
  4. VDI/VDE Innovation + Technik GmbH, Berlin


Anzeige
Top-Angebote
  1. (u. a. Sony Alpha 6000 Bundle für 499€ und Lenovo C2 für 59€)
  2. 59,99€
  3. (heute u. a. mit Dremel-Artikeln, Roccat-Mäusen und Sony Alpha 6000 + Objektiv AF E 16-50 mm für...

Folgen Sie uns
       

  1. Liberty Global

    Giga-Standard Docsis 3.1 kommt im ersten Quartal 2018

  2. Apache-Sicherheitslücke

    Optionsbleed bereits 2014 entdeckt und übersehen

  3. Tianhe-2A

    Zweitschnellster Supercomputer wird doppelt so flott

  4. Autonomes Fahren

    Japan testet fahrerlosen Bus auf dem Land

  5. Liberty Global

    Unitymedia-Mutterkonzern hat Probleme mit Amazon

  6. 18 Milliarden Dollar

    Finanzinvestor Bain übernimmt Toshibas Speichergeschäft

  7. Bundestagswahl

    Innenminister sieht bislang keine Einmischung Russlands

  8. Itchy Nose

    Die Nasensteuerung fürs Smartphone

  9. Apple

    Swift 4 erleichtert Umgang mit Strings und Collections

  10. Redundanz

    AEG stellt Online-USV für den 19-Zoll-Serverschrank vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Die Chinesen sind deutlich im Vorteil

    cicero | 01:44

  2. Glaubst du das selbst?

    Tunkali | 01:43

  3. Re: Ein Beitrag voller Grenzfälle

    as (Golem.de) | 00:50

  4. Re: Funktioniert Netflix denn mittlerweile bei UM?

    Xiut | 00:46

  5. Re: von denen sechs sitzen können

    Patman | 00:44


  1. 18:10

  2. 17:45

  3. 17:17

  4. 16:47

  5. 16:32

  6. 16:22

  7. 16:16

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel