Abo
  • IT-Karriere:

Swen-Wurm tarnt sich als Patch für den Internet Explorer

Wurm nutzt altes Sicherheitsleck im Internet Explorer zur Verbreitung

Wie mehrere Anbieter von Antiviren-Lösungen berichten, wurde mit Swen ein neuer Wurm entdeckt, der sich unter anderem stark per E-Mail als vermeintlicher Patch verbreitet. Für eine effektive Verbreitung nutzt der Wurm eine über zwei Jahre alte Sicherheitslücke im Internet Explorer, so dass der Dateianhang automatisch ausgeführt wird. Wie auch manch früherer Wurm terminiert Swen laufende Virenscanner und Firewalls. Neben dem Verbreitungsweg via E-Mail pflanzt sich der Wurm über Newsgroups, KaZaA, IRC und Netzlaufwerke fort.

Artikel veröffentlicht am ,

Swen versendet für die E-Mail-Verbreitung eine professionell gemachte HTML-Mail, die unbedarfte Anwender leicht in den Glauben versetzen kann, die betreffende E-Mail stamme von Microsoft und enthalte tatsächlich einen Patch für den Internet Explorer. Tatsächlich ist der E-Mail aber nur eine Datei mit dem Wurm angefügt. Hier sei nochmals der Hinweis gegeben, dass Microsoft und auch andere Software-Hersteller Patches oder Updates nie per E-Mail anbieten. Die Wurm-Mails weisen wechselnde Betreffzeilen und gefälschte Absenderadressen auf. Als Alternative zur HTML-Mail kann der Wurm auch als vorgetäuschte Unzustellbarkeitsmeldung erscheinen - natürlich mit einem infizierten Dateianhang. Zur Verbreitung durchsucht der Wurm Dateien mit den Endungen .html, .asp, .eml, .dbx, .wab, .mbx nach gültigen E-Mail-Adressen.

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. über duerenhoff GmbH, Raum Hagen

Klick zur Großansicht
Klick zur Großansicht
Der Swen-Wurm nutzt eine über zwei Jahre alte Sicherheitslücke im Internet Explorer in Zusammenhang mit Outlook und Outlook Express respektive anderen E-Mail-Clients, die den Internet Explorer zur Ansicht von HTML-Nachrichten verwenden. Dies sorgt dafür, dass der Mail-Anhang automatisch bei der Vorschau der E-Mail ausgeführt wird. Microsoft bietet seit März 2001 einen deutschsprachigen Patch für den Internet Explorer 5.01 und 5.5 an, um das Problem zu beheben. Natürlich aktiviert sich der Wurm auch, wenn der Anhang manuell gestartet wird. Nach Öffnen des Anhangs erscheint je nach Dateiname eine Dialogbox, dass dies ein Update für den Internet Explorer sei. Swen installiert sich dann aber auf jeden Fall, ganz gleich, was man in der Dialogbox auswählt. Ist das betreffende System bereits installiert, erscheint frecherweise sogar eine Dialogbox, dass das Update auf diesem System nicht benötigt werde.

Nach der Aktivierung beendet der Wurm die laufenden Prozesse zahlreicher installierter Virenscanner und Firewalls. Aber auch das Starten des Registry-Editors wird verhindert, indem ein entsprechender Eintrag in der Registry vorgenommen und ein laufender Editor-Prozess beendet wird, was das manuelle Entfernen des Wurms stark erschwert. Der Unhold nimmt zahlreiche Einträge in der Registry vor, wozu unter anderem die Zugangsdaten des Mail-Postfaches gehören. Aber auch für den automatischen Start beim Hochfahren des Rechners wird so gesorgt. Ferner werden die Dateizuweisungen geändert, so dass der Wurm beim Öffnen der Dateien mit den Endungen .bat, .com, .exe, .pif, .reg und .scr gestartet wird.

In unregelmäßigen Abständen zeigt Swen außerdem eine gefälschte MAPI32-Fehlermeldung an, in der Daten für ein Mail-Postfach eingegeben werden sollen, dazu gehören E-Mail-Adresse, Nutzername, Kennwort, POP3- und SMTP-Server. Ferner kontaktiert der Schädling bei der Aktivierung einen HTTP-Server für den Zugriff auf Zähler-Informationen und zeigt ein Fenster mit einem Zähler an.

Bei der Verbreitung über KaZaA legt sich der Unhold unter einem zufällig ausgewählten Ordnernamen im lokalen KaZaA-Verzeichnis mit wechselnden Dateinamen ab. Die Dateinamen suggerieren dabei unter anderem, dass es sich um Hacker- oder Crack-Tools, Updates, bekannte Würmer, Patches, KaZaA-Dateien, Emulatoren für Spielekonsolen oder Dateien mit sexuellen Inhalten handele. Damit sollen KaZaA-Nutzer dazu gebracht werden, die betreffenden Dateien zu laden.

Bei der Verbreitung per IRC versendet sich der Wurm als Datei an andere mIRC-Nutzer, die sich im gleichen IRC-Kanal aufhalten wie der Nutzer des infizierten Rechners. Über ausgewählte Newsgroups versucht sich Swen ebenfalls zu verbreiten. Schließlich nutzt der Schädling auch angeschlossene Netzwerk-Laufwerke zur Verbreitung und kopiert sich in das Autostart-Verzeichnis der betreffenden Laufwerke, so dass der Wurm auf den angeschlossenen Maschinen automatisch beim nächsten Rechnerstart ausgeführt wird.

Da der Wurm Swen bereits in der vergangenen Nacht aufgetaucht ist, sollten die meisten Anbieter von Antiviren-Lösungen ihre Signatur-Dateien bereits aktualisiert haben.



Anzeige
Top-Angebote
  1. bis zu 11 PC-Spiele für 11,65€
  2. 499,00€ (zzgl. 8,99€ Versand)
  3. 104,90€

Hast-mal-n-Euro? 02. Jan 2004

jo ... und genau die sollten sich fürchten müssen!

Blar 02. Jan 2004

"Die Hacker" sollte man aber unterscheiden. Es gibt Leute die dir zeigen wollen, das...

Jakob 02. Jan 2004

Und die Juden ins KZ. Ich weiß. "Die Hacker" haben letztendlich dafür gesorgt, dass sich...

Jakob 02. Jan 2004

Weil die Diskette im Schrank liegt, wenn das Programm mal läuft.

Jakob 02. Jan 2004

Hallo Maddin, dein Vorredner hat schon recht: Wenn du als Einzelperson in drei Jahren...


Folgen Sie uns
       


Demo gegen Uploadfilter in Berlin - Bericht

Impressionen von der Demonstration am 23. März 2019 gegen die Uploadfilter in Berlin.

Demo gegen Uploadfilter in Berlin - Bericht Video aufrufen
Chromium: Der neue Edge-Browser könnte auch Chrome besser machen
Chromium
Der neue Edge-Browser könnte auch Chrome besser machen

Build 2019 Wie sieht die Zukunft des Edge-Browsers aus und was will Microsoft zum Chromium-Projekt beitragen? Im Gespräch mit Golem.de gibt das Unternehmen die vage Aussicht auf einen Release für Linux und Verbesserungen in Google Chrome. Bis dahin steht viel Arbeit an.
Von Oliver Nickel

  1. Insiderprogramm Microsoft bietet Vorversionen von Edge für den Mac an
  2. Browser Edge auf Chromium-Basis wird Netflix in 4K unterstützen
  3. Browser Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
    Homeoffice
    Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

    Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
    Ein Erfahrungsbericht von Marvin Engel

    1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
    2. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?
    3. Milla Bund sagt Pläne für KI-gesteuerte Weiterbildungsplattform ab

      •  /