Abo
  • Services:

Swen-Wurm tarnt sich als Patch für den Internet Explorer

Wurm nutzt altes Sicherheitsleck im Internet Explorer zur Verbreitung

Wie mehrere Anbieter von Antiviren-Lösungen berichten, wurde mit Swen ein neuer Wurm entdeckt, der sich unter anderem stark per E-Mail als vermeintlicher Patch verbreitet. Für eine effektive Verbreitung nutzt der Wurm eine über zwei Jahre alte Sicherheitslücke im Internet Explorer, so dass der Dateianhang automatisch ausgeführt wird. Wie auch manch früherer Wurm terminiert Swen laufende Virenscanner und Firewalls. Neben dem Verbreitungsweg via E-Mail pflanzt sich der Wurm über Newsgroups, KaZaA, IRC und Netzlaufwerke fort.

Artikel veröffentlicht am ,

Swen versendet für die E-Mail-Verbreitung eine professionell gemachte HTML-Mail, die unbedarfte Anwender leicht in den Glauben versetzen kann, die betreffende E-Mail stamme von Microsoft und enthalte tatsächlich einen Patch für den Internet Explorer. Tatsächlich ist der E-Mail aber nur eine Datei mit dem Wurm angefügt. Hier sei nochmals der Hinweis gegeben, dass Microsoft und auch andere Software-Hersteller Patches oder Updates nie per E-Mail anbieten. Die Wurm-Mails weisen wechselnde Betreffzeilen und gefälschte Absenderadressen auf. Als Alternative zur HTML-Mail kann der Wurm auch als vorgetäuschte Unzustellbarkeitsmeldung erscheinen - natürlich mit einem infizierten Dateianhang. Zur Verbreitung durchsucht der Wurm Dateien mit den Endungen .html, .asp, .eml, .dbx, .wab, .mbx nach gültigen E-Mail-Adressen.

Stellenmarkt
  1. Concentrix Wuppertal GmbH, Wuppertal
  2. über duerenhoff GmbH, Raum Köln (Home-Office möglich)

Klick zur Großansicht
Klick zur Großansicht
Der Swen-Wurm nutzt eine über zwei Jahre alte Sicherheitslücke im Internet Explorer in Zusammenhang mit Outlook und Outlook Express respektive anderen E-Mail-Clients, die den Internet Explorer zur Ansicht von HTML-Nachrichten verwenden. Dies sorgt dafür, dass der Mail-Anhang automatisch bei der Vorschau der E-Mail ausgeführt wird. Microsoft bietet seit März 2001 einen deutschsprachigen Patch für den Internet Explorer 5.01 und 5.5 an, um das Problem zu beheben. Natürlich aktiviert sich der Wurm auch, wenn der Anhang manuell gestartet wird. Nach Öffnen des Anhangs erscheint je nach Dateiname eine Dialogbox, dass dies ein Update für den Internet Explorer sei. Swen installiert sich dann aber auf jeden Fall, ganz gleich, was man in der Dialogbox auswählt. Ist das betreffende System bereits installiert, erscheint frecherweise sogar eine Dialogbox, dass das Update auf diesem System nicht benötigt werde.

Nach der Aktivierung beendet der Wurm die laufenden Prozesse zahlreicher installierter Virenscanner und Firewalls. Aber auch das Starten des Registry-Editors wird verhindert, indem ein entsprechender Eintrag in der Registry vorgenommen und ein laufender Editor-Prozess beendet wird, was das manuelle Entfernen des Wurms stark erschwert. Der Unhold nimmt zahlreiche Einträge in der Registry vor, wozu unter anderem die Zugangsdaten des Mail-Postfaches gehören. Aber auch für den automatischen Start beim Hochfahren des Rechners wird so gesorgt. Ferner werden die Dateizuweisungen geändert, so dass der Wurm beim Öffnen der Dateien mit den Endungen .bat, .com, .exe, .pif, .reg und .scr gestartet wird.

In unregelmäßigen Abständen zeigt Swen außerdem eine gefälschte MAPI32-Fehlermeldung an, in der Daten für ein Mail-Postfach eingegeben werden sollen, dazu gehören E-Mail-Adresse, Nutzername, Kennwort, POP3- und SMTP-Server. Ferner kontaktiert der Schädling bei der Aktivierung einen HTTP-Server für den Zugriff auf Zähler-Informationen und zeigt ein Fenster mit einem Zähler an.

Bei der Verbreitung über KaZaA legt sich der Unhold unter einem zufällig ausgewählten Ordnernamen im lokalen KaZaA-Verzeichnis mit wechselnden Dateinamen ab. Die Dateinamen suggerieren dabei unter anderem, dass es sich um Hacker- oder Crack-Tools, Updates, bekannte Würmer, Patches, KaZaA-Dateien, Emulatoren für Spielekonsolen oder Dateien mit sexuellen Inhalten handele. Damit sollen KaZaA-Nutzer dazu gebracht werden, die betreffenden Dateien zu laden.

Bei der Verbreitung per IRC versendet sich der Wurm als Datei an andere mIRC-Nutzer, die sich im gleichen IRC-Kanal aufhalten wie der Nutzer des infizierten Rechners. Über ausgewählte Newsgroups versucht sich Swen ebenfalls zu verbreiten. Schließlich nutzt der Schädling auch angeschlossene Netzwerk-Laufwerke zur Verbreitung und kopiert sich in das Autostart-Verzeichnis der betreffenden Laufwerke, so dass der Wurm auf den angeschlossenen Maschinen automatisch beim nächsten Rechnerstart ausgeführt wird.

Da der Wurm Swen bereits in der vergangenen Nacht aufgetaucht ist, sollten die meisten Anbieter von Antiviren-Lösungen ihre Signatur-Dateien bereits aktualisiert haben.



Anzeige
Hardware-Angebote
  1. (u. a. 32 GB 6,98€, 128 GB 23,58€)
  2. 99,99€ (versandkostenfrei)
  3. 119,90€

Hast-mal-n-Euro? 02. Jan 2004

jo ... und genau die sollten sich fürchten müssen!

Blar 02. Jan 2004

"Die Hacker" sollte man aber unterscheiden. Es gibt Leute die dir zeigen wollen, das...

Jakob 02. Jan 2004

Und die Juden ins KZ. Ich weiß. "Die Hacker" haben letztendlich dafür gesorgt, dass sich...

Jakob 02. Jan 2004

Weil die Diskette im Schrank liegt, wenn das Programm mal läuft.

Jakob 02. Jan 2004

Hallo Maddin, dein Vorredner hat schon recht: Wenn du als Einzelperson in drei Jahren...


Folgen Sie uns
       


Bewerbungsgespräch mit der KI vom DFKI - Bericht

Wir haben uns beim DFKI in Saarbrücken angesehen, wie das Training von Bewerbungsgesprächen mit einer Künstlichen Intelligenz funktioniert.

Bewerbungsgespräch mit der KI vom DFKI - Bericht Video aufrufen
Mobile Bezahldienste: Wie sicher sind Apple Pay und Google Pay?
Mobile Bezahldienste
Wie sicher sind Apple Pay und Google Pay?

Die Zahlungsdienste Apple Pay und Google Pay sind nach Ansicht von Experten sicherer als klassische Kreditkarten. In der täglichen Praxis schneidet ein Dienst etwas besser ab. Einige Haftungsfragen sind aber noch juristisch ungeklärt.
Von Andreas Maisch

  1. Anzeige Was Drittanbieter beim Open Banking beachten müssen
  2. Finanzdienstleister Wirecard sieht kein Fehlverhalten
  3. Fintech Wirecard wird zur Smartphone-Bank

Verschlüsselung: Die meisten Nutzer brauchen kein VPN
Verschlüsselung
Die meisten Nutzer brauchen kein VPN

VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich.
Eine Analyse von Hanno Böck

  1. Security Wireguard-VPN für MacOS erschienen
  2. Security Wireguard-VPN für iOS verfügbar
  3. Outline Digitalocean und Alphabet-Tochter bieten individuelles VPN

Display-Technik: So funktionieren Micro-LEDs
Display-Technik
So funktionieren Micro-LEDs

Nach Flüssigkristallanzeigen (LCD) mit Hintergrundbeleuchtung und OLED-Bildschirmen sind Micro-LEDs der nächste Schritt: Apple arbeitet daran für Smartwatches und Samsung hat bereits einen Fernseher vorgestellt. Die Technik hat viele Vorteile, ist aber aufwendig in der Fertigung.
Von Mike Wobker

  1. AU Optronics Apple soll Wechsel von OLEDs zu Micro-LEDs vorbereiten

    •  /