Swen-Wurm tarnt sich als Patch für den Internet Explorer

Wurm nutzt altes Sicherheitsleck im Internet Explorer zur Verbreitung

Wie mehrere Anbieter von Antiviren-Lösungen berichten, wurde mit Swen ein neuer Wurm entdeckt, der sich unter anderem stark per E-Mail als vermeintlicher Patch verbreitet. Für eine effektive Verbreitung nutzt der Wurm eine über zwei Jahre alte Sicherheitslücke im Internet Explorer, so dass der Dateianhang automatisch ausgeführt wird. Wie auch manch früherer Wurm terminiert Swen laufende Virenscanner und Firewalls. Neben dem Verbreitungsweg via E-Mail pflanzt sich der Wurm über Newsgroups, KaZaA, IRC und Netzlaufwerke fort.

Artikel veröffentlicht am ,

Swen versendet für die E-Mail-Verbreitung eine professionell gemachte HTML-Mail, die unbedarfte Anwender leicht in den Glauben versetzen kann, die betreffende E-Mail stamme von Microsoft und enthalte tatsächlich einen Patch für den Internet Explorer. Tatsächlich ist der E-Mail aber nur eine Datei mit dem Wurm angefügt. Hier sei nochmals der Hinweis gegeben, dass Microsoft und auch andere Software-Hersteller Patches oder Updates nie per E-Mail anbieten. Die Wurm-Mails weisen wechselnde Betreffzeilen und gefälschte Absenderadressen auf. Als Alternative zur HTML-Mail kann der Wurm auch als vorgetäuschte Unzustellbarkeitsmeldung erscheinen - natürlich mit einem infizierten Dateianhang. Zur Verbreitung durchsucht der Wurm Dateien mit den Endungen .html, .asp, .eml, .dbx, .wab, .mbx nach gültigen E-Mail-Adressen.

Stellenmarkt
  1. Administrator Security-Operations (m/w/d)
    Universitätsklinikum Regensburg, Regensburg
  2. IT-Infrastruktur-Systembetre- uer (m/w/d)
    Psychiatrisches Zentrum Nordbaden, Wiesloch
Detailsuche

Klick zur Großansicht
Klick zur Großansicht
Der Swen-Wurm nutzt eine über zwei Jahre alte Sicherheitslücke im Internet Explorer in Zusammenhang mit Outlook und Outlook Express respektive anderen E-Mail-Clients, die den Internet Explorer zur Ansicht von HTML-Nachrichten verwenden. Dies sorgt dafür, dass der Mail-Anhang automatisch bei der Vorschau der E-Mail ausgeführt wird. Microsoft bietet seit März 2001 einen deutschsprachigen Patch für den Internet Explorer 5.01 und 5.5 an, um das Problem zu beheben. Natürlich aktiviert sich der Wurm auch, wenn der Anhang manuell gestartet wird. Nach Öffnen des Anhangs erscheint je nach Dateiname eine Dialogbox, dass dies ein Update für den Internet Explorer sei. Swen installiert sich dann aber auf jeden Fall, ganz gleich, was man in der Dialogbox auswählt. Ist das betreffende System bereits installiert, erscheint frecherweise sogar eine Dialogbox, dass das Update auf diesem System nicht benötigt werde.

Nach der Aktivierung beendet der Wurm die laufenden Prozesse zahlreicher installierter Virenscanner und Firewalls. Aber auch das Starten des Registry-Editors wird verhindert, indem ein entsprechender Eintrag in der Registry vorgenommen und ein laufender Editor-Prozess beendet wird, was das manuelle Entfernen des Wurms stark erschwert. Der Unhold nimmt zahlreiche Einträge in der Registry vor, wozu unter anderem die Zugangsdaten des Mail-Postfaches gehören. Aber auch für den automatischen Start beim Hochfahren des Rechners wird so gesorgt. Ferner werden die Dateizuweisungen geändert, so dass der Wurm beim Öffnen der Dateien mit den Endungen .bat, .com, .exe, .pif, .reg und .scr gestartet wird.

In unregelmäßigen Abständen zeigt Swen außerdem eine gefälschte MAPI32-Fehlermeldung an, in der Daten für ein Mail-Postfach eingegeben werden sollen, dazu gehören E-Mail-Adresse, Nutzername, Kennwort, POP3- und SMTP-Server. Ferner kontaktiert der Schädling bei der Aktivierung einen HTTP-Server für den Zugriff auf Zähler-Informationen und zeigt ein Fenster mit einem Zähler an.

Bei der Verbreitung über KaZaA legt sich der Unhold unter einem zufällig ausgewählten Ordnernamen im lokalen KaZaA-Verzeichnis mit wechselnden Dateinamen ab. Die Dateinamen suggerieren dabei unter anderem, dass es sich um Hacker- oder Crack-Tools, Updates, bekannte Würmer, Patches, KaZaA-Dateien, Emulatoren für Spielekonsolen oder Dateien mit sexuellen Inhalten handele. Damit sollen KaZaA-Nutzer dazu gebracht werden, die betreffenden Dateien zu laden.

Bei der Verbreitung per IRC versendet sich der Wurm als Datei an andere mIRC-Nutzer, die sich im gleichen IRC-Kanal aufhalten wie der Nutzer des infizierten Rechners. Über ausgewählte Newsgroups versucht sich Swen ebenfalls zu verbreiten. Schließlich nutzt der Schädling auch angeschlossene Netzwerk-Laufwerke zur Verbreitung und kopiert sich in das Autostart-Verzeichnis der betreffenden Laufwerke, so dass der Wurm auf den angeschlossenen Maschinen automatisch beim nächsten Rechnerstart ausgeführt wird.

Da der Wurm Swen bereits in der vergangenen Nacht aufgetaucht ist, sollten die meisten Anbieter von Antiviren-Lösungen ihre Signatur-Dateien bereits aktualisiert haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Apple
Macbook-Nutzer berichten über gesprungene Displays

Zahlreiche Besitzer von Macbooks mit M1-Chip berichten über plötzlich gesprungene Displays - Apple geht von Fremdverschulden aus.

Apple: Macbook-Nutzer berichten über gesprungene Displays
Artikel
  1. Gesetz tritt in Kraft: Die Uploadfilter sind da
    Gesetz tritt in Kraft
    Die Uploadfilter sind da

    Ab sofort haften große Plattformen für die Uploads ihrer Nutzer. Zu mehr Lizenzvereinbarungen hat das bei der Gema noch nicht geführt.
    Ein Bericht von Friedhelm Greis

  2. Mercedes-Benz: Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos
    Mercedes-Benz
    Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos

    Mehr Elektroautos bei Daimler bedeuten nach Ansicht der Chefetage weniger Arbeitsplätze. Grund sei der einfachere Einbau eines Elektromotors.

  3. VW, BMW, Daimler: Jedes sechste Elektroauto ist von deutschem Hersteller
    VW, BMW, Daimler
    Jedes sechste Elektroauto ist von deutschem Hersteller

    Das Elektroauto gewinnt an Fahrt bei den deutschen Herstellern und Autokäufern. Bei Angebot und Nachfrage dominiert China.

Hast-mal-n-Euro? 02. Jan 2004

jo ... und genau die sollten sich fürchten müssen!

Blar 02. Jan 2004

"Die Hacker" sollte man aber unterscheiden. Es gibt Leute die dir zeigen wollen, das...

Jakob 02. Jan 2004

Und die Juden ins KZ. Ich weiß. "Die Hacker" haben letztendlich dafür gesorgt, dass sich...

Jakob 02. Jan 2004

Weil die Diskette im Schrank liegt, wenn das Programm mal läuft.

Jakob 02. Jan 2004

Hallo Maddin, dein Vorredner hat schon recht: Wenn du als Einzelperson in drei Jahren...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Acer XB323UGP (WQHD, 170Hz) 580,43€ • Acer XV340CKP (UWQHD, 144 Hz) 465,78€ • Razer BlackShark V2 + Base Station V2 Chroma 94,98€ • Mega-Marken-Sparen bei MM • Saturn: 1 Produkt zahlen, 2 erhalten • Alternate (u. a. AKRacing Core EX-Wide SE 248,99€) • Fallout 4 GOTY 9,99€ [Werbung]
    •  /