Abo
  • Services:

Swen-Wurm tarnt sich als Patch für den Internet Explorer

Wurm nutzt altes Sicherheitsleck im Internet Explorer zur Verbreitung

Wie mehrere Anbieter von Antiviren-Lösungen berichten, wurde mit Swen ein neuer Wurm entdeckt, der sich unter anderem stark per E-Mail als vermeintlicher Patch verbreitet. Für eine effektive Verbreitung nutzt der Wurm eine über zwei Jahre alte Sicherheitslücke im Internet Explorer, so dass der Dateianhang automatisch ausgeführt wird. Wie auch manch früherer Wurm terminiert Swen laufende Virenscanner und Firewalls. Neben dem Verbreitungsweg via E-Mail pflanzt sich der Wurm über Newsgroups, KaZaA, IRC und Netzlaufwerke fort.

Artikel veröffentlicht am ,

Swen versendet für die E-Mail-Verbreitung eine professionell gemachte HTML-Mail, die unbedarfte Anwender leicht in den Glauben versetzen kann, die betreffende E-Mail stamme von Microsoft und enthalte tatsächlich einen Patch für den Internet Explorer. Tatsächlich ist der E-Mail aber nur eine Datei mit dem Wurm angefügt. Hier sei nochmals der Hinweis gegeben, dass Microsoft und auch andere Software-Hersteller Patches oder Updates nie per E-Mail anbieten. Die Wurm-Mails weisen wechselnde Betreffzeilen und gefälschte Absenderadressen auf. Als Alternative zur HTML-Mail kann der Wurm auch als vorgetäuschte Unzustellbarkeitsmeldung erscheinen - natürlich mit einem infizierten Dateianhang. Zur Verbreitung durchsucht der Wurm Dateien mit den Endungen .html, .asp, .eml, .dbx, .wab, .mbx nach gültigen E-Mail-Adressen.

Stellenmarkt
  1. Hanseatisches Personalkontor, Schwenningen
  2. Gartenbau-Versicherung VVaG, Wiesbaden

Klick zur Großansicht
Klick zur Großansicht
Der Swen-Wurm nutzt eine über zwei Jahre alte Sicherheitslücke im Internet Explorer in Zusammenhang mit Outlook und Outlook Express respektive anderen E-Mail-Clients, die den Internet Explorer zur Ansicht von HTML-Nachrichten verwenden. Dies sorgt dafür, dass der Mail-Anhang automatisch bei der Vorschau der E-Mail ausgeführt wird. Microsoft bietet seit März 2001 einen deutschsprachigen Patch für den Internet Explorer 5.01 und 5.5 an, um das Problem zu beheben. Natürlich aktiviert sich der Wurm auch, wenn der Anhang manuell gestartet wird. Nach Öffnen des Anhangs erscheint je nach Dateiname eine Dialogbox, dass dies ein Update für den Internet Explorer sei. Swen installiert sich dann aber auf jeden Fall, ganz gleich, was man in der Dialogbox auswählt. Ist das betreffende System bereits installiert, erscheint frecherweise sogar eine Dialogbox, dass das Update auf diesem System nicht benötigt werde.

Nach der Aktivierung beendet der Wurm die laufenden Prozesse zahlreicher installierter Virenscanner und Firewalls. Aber auch das Starten des Registry-Editors wird verhindert, indem ein entsprechender Eintrag in der Registry vorgenommen und ein laufender Editor-Prozess beendet wird, was das manuelle Entfernen des Wurms stark erschwert. Der Unhold nimmt zahlreiche Einträge in der Registry vor, wozu unter anderem die Zugangsdaten des Mail-Postfaches gehören. Aber auch für den automatischen Start beim Hochfahren des Rechners wird so gesorgt. Ferner werden die Dateizuweisungen geändert, so dass der Wurm beim Öffnen der Dateien mit den Endungen .bat, .com, .exe, .pif, .reg und .scr gestartet wird.

In unregelmäßigen Abständen zeigt Swen außerdem eine gefälschte MAPI32-Fehlermeldung an, in der Daten für ein Mail-Postfach eingegeben werden sollen, dazu gehören E-Mail-Adresse, Nutzername, Kennwort, POP3- und SMTP-Server. Ferner kontaktiert der Schädling bei der Aktivierung einen HTTP-Server für den Zugriff auf Zähler-Informationen und zeigt ein Fenster mit einem Zähler an.

Bei der Verbreitung über KaZaA legt sich der Unhold unter einem zufällig ausgewählten Ordnernamen im lokalen KaZaA-Verzeichnis mit wechselnden Dateinamen ab. Die Dateinamen suggerieren dabei unter anderem, dass es sich um Hacker- oder Crack-Tools, Updates, bekannte Würmer, Patches, KaZaA-Dateien, Emulatoren für Spielekonsolen oder Dateien mit sexuellen Inhalten handele. Damit sollen KaZaA-Nutzer dazu gebracht werden, die betreffenden Dateien zu laden.

Bei der Verbreitung per IRC versendet sich der Wurm als Datei an andere mIRC-Nutzer, die sich im gleichen IRC-Kanal aufhalten wie der Nutzer des infizierten Rechners. Über ausgewählte Newsgroups versucht sich Swen ebenfalls zu verbreiten. Schließlich nutzt der Schädling auch angeschlossene Netzwerk-Laufwerke zur Verbreitung und kopiert sich in das Autostart-Verzeichnis der betreffenden Laufwerke, so dass der Wurm auf den angeschlossenen Maschinen automatisch beim nächsten Rechnerstart ausgeführt wird.

Da der Wurm Swen bereits in der vergangenen Nacht aufgetaucht ist, sollten die meisten Anbieter von Antiviren-Lösungen ihre Signatur-Dateien bereits aktualisiert haben.



Anzeige
Hardware-Angebote
  1. bei Alternate kaufen
  2. bei Caseking kaufen
  3. 449€

Hast-mal-n-Euro? 02. Jan 2004

jo ... und genau die sollten sich fürchten müssen!

Blar 02. Jan 2004

"Die Hacker" sollte man aber unterscheiden. Es gibt Leute die dir zeigen wollen, das...

Jakob 02. Jan 2004

Und die Juden ins KZ. Ich weiß. "Die Hacker" haben letztendlich dafür gesorgt, dass sich...

Jakob 02. Jan 2004

Weil die Diskette im Schrank liegt, wenn das Programm mal läuft.

Jakob 02. Jan 2004

Hallo Maddin, dein Vorredner hat schon recht: Wenn du als Einzelperson in drei Jahren...


Folgen Sie uns
       


Far Cry 5 - Fazit

Im Fazit zu Far Cry 5 zeigen wir dumme Gegner, schöne Grafik und erklären, wie Ubisoft erneut viel Potenzial verschenkt.

Far Cry 5 - Fazit Video aufrufen
HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. VR-Headset HTCs Vive Pro kostet 880 Euro
  2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
  3. Vive Focus HTC stellt autarkes VR-Headset vor

P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

HP Z2 Mini Workstation G3 im Test: Leises Rauschen hinterm Monitor
HP Z2 Mini Workstation G3 im Test
Leises Rauschen hinterm Monitor

Unterm Tisch, auf dem Tisch oder hinter den Bildschirm geklemmt: HPs Z2 Mini Workstation ist ein potentes, wenn auch nicht gerade sehr preiswertes Komplettsystem. Den Preis ist der PC aber wert, denn er ist leise, modular und kann einfach gewartet werden. Der Admin dankt!
Ein Test von Oliver Nickel

  1. HP Pavilion Gaming Hardware für Gamer, die sich Omen nicht leisten wollen
  2. Chromebook x2 HP präsentiert Chrome-OS-Detachable mit Stift
  3. Laserjet Pro M15w und M28w HPs Laserdrucker schrumpfen auf 34 Zentimeter Länge

    •  /