Abo
  • Services:

Swen-Wurm tarnt sich als Patch für den Internet Explorer

Wurm nutzt altes Sicherheitsleck im Internet Explorer zur Verbreitung

Wie mehrere Anbieter von Antiviren-Lösungen berichten, wurde mit Swen ein neuer Wurm entdeckt, der sich unter anderem stark per E-Mail als vermeintlicher Patch verbreitet. Für eine effektive Verbreitung nutzt der Wurm eine über zwei Jahre alte Sicherheitslücke im Internet Explorer, so dass der Dateianhang automatisch ausgeführt wird. Wie auch manch früherer Wurm terminiert Swen laufende Virenscanner und Firewalls. Neben dem Verbreitungsweg via E-Mail pflanzt sich der Wurm über Newsgroups, KaZaA, IRC und Netzlaufwerke fort.

Artikel veröffentlicht am ,

Swen versendet für die E-Mail-Verbreitung eine professionell gemachte HTML-Mail, die unbedarfte Anwender leicht in den Glauben versetzen kann, die betreffende E-Mail stamme von Microsoft und enthalte tatsächlich einen Patch für den Internet Explorer. Tatsächlich ist der E-Mail aber nur eine Datei mit dem Wurm angefügt. Hier sei nochmals der Hinweis gegeben, dass Microsoft und auch andere Software-Hersteller Patches oder Updates nie per E-Mail anbieten. Die Wurm-Mails weisen wechselnde Betreffzeilen und gefälschte Absenderadressen auf. Als Alternative zur HTML-Mail kann der Wurm auch als vorgetäuschte Unzustellbarkeitsmeldung erscheinen - natürlich mit einem infizierten Dateianhang. Zur Verbreitung durchsucht der Wurm Dateien mit den Endungen .html, .asp, .eml, .dbx, .wab, .mbx nach gültigen E-Mail-Adressen.

Stellenmarkt
  1. Bosch Gruppe, Reutlingen
  2. KfW Bankengruppe, Frankfurt am Main

Klick zur Großansicht
Klick zur Großansicht
Der Swen-Wurm nutzt eine über zwei Jahre alte Sicherheitslücke im Internet Explorer in Zusammenhang mit Outlook und Outlook Express respektive anderen E-Mail-Clients, die den Internet Explorer zur Ansicht von HTML-Nachrichten verwenden. Dies sorgt dafür, dass der Mail-Anhang automatisch bei der Vorschau der E-Mail ausgeführt wird. Microsoft bietet seit März 2001 einen deutschsprachigen Patch für den Internet Explorer 5.01 und 5.5 an, um das Problem zu beheben. Natürlich aktiviert sich der Wurm auch, wenn der Anhang manuell gestartet wird. Nach Öffnen des Anhangs erscheint je nach Dateiname eine Dialogbox, dass dies ein Update für den Internet Explorer sei. Swen installiert sich dann aber auf jeden Fall, ganz gleich, was man in der Dialogbox auswählt. Ist das betreffende System bereits installiert, erscheint frecherweise sogar eine Dialogbox, dass das Update auf diesem System nicht benötigt werde.

Nach der Aktivierung beendet der Wurm die laufenden Prozesse zahlreicher installierter Virenscanner und Firewalls. Aber auch das Starten des Registry-Editors wird verhindert, indem ein entsprechender Eintrag in der Registry vorgenommen und ein laufender Editor-Prozess beendet wird, was das manuelle Entfernen des Wurms stark erschwert. Der Unhold nimmt zahlreiche Einträge in der Registry vor, wozu unter anderem die Zugangsdaten des Mail-Postfaches gehören. Aber auch für den automatischen Start beim Hochfahren des Rechners wird so gesorgt. Ferner werden die Dateizuweisungen geändert, so dass der Wurm beim Öffnen der Dateien mit den Endungen .bat, .com, .exe, .pif, .reg und .scr gestartet wird.

In unregelmäßigen Abständen zeigt Swen außerdem eine gefälschte MAPI32-Fehlermeldung an, in der Daten für ein Mail-Postfach eingegeben werden sollen, dazu gehören E-Mail-Adresse, Nutzername, Kennwort, POP3- und SMTP-Server. Ferner kontaktiert der Schädling bei der Aktivierung einen HTTP-Server für den Zugriff auf Zähler-Informationen und zeigt ein Fenster mit einem Zähler an.

Bei der Verbreitung über KaZaA legt sich der Unhold unter einem zufällig ausgewählten Ordnernamen im lokalen KaZaA-Verzeichnis mit wechselnden Dateinamen ab. Die Dateinamen suggerieren dabei unter anderem, dass es sich um Hacker- oder Crack-Tools, Updates, bekannte Würmer, Patches, KaZaA-Dateien, Emulatoren für Spielekonsolen oder Dateien mit sexuellen Inhalten handele. Damit sollen KaZaA-Nutzer dazu gebracht werden, die betreffenden Dateien zu laden.

Bei der Verbreitung per IRC versendet sich der Wurm als Datei an andere mIRC-Nutzer, die sich im gleichen IRC-Kanal aufhalten wie der Nutzer des infizierten Rechners. Über ausgewählte Newsgroups versucht sich Swen ebenfalls zu verbreiten. Schließlich nutzt der Schädling auch angeschlossene Netzwerk-Laufwerke zur Verbreitung und kopiert sich in das Autostart-Verzeichnis der betreffenden Laufwerke, so dass der Wurm auf den angeschlossenen Maschinen automatisch beim nächsten Rechnerstart ausgeführt wird.

Da der Wurm Swen bereits in der vergangenen Nacht aufgetaucht ist, sollten die meisten Anbieter von Antiviren-Lösungen ihre Signatur-Dateien bereits aktualisiert haben.



Anzeige
Blu-ray-Angebote
  1. 34,99€

Hast-mal-n-Euro? 02. Jan 2004

jo ... und genau die sollten sich fürchten müssen!

Blar 02. Jan 2004

"Die Hacker" sollte man aber unterscheiden. Es gibt Leute die dir zeigen wollen, das...

Jakob 02. Jan 2004

Und die Juden ins KZ. Ich weiß. "Die Hacker" haben letztendlich dafür gesorgt, dass sich...

Jakob 02. Jan 2004

Weil die Diskette im Schrank liegt, wenn das Programm mal läuft.

Jakob 02. Jan 2004

Hallo Maddin, dein Vorredner hat schon recht: Wenn du als Einzelperson in drei Jahren...


Folgen Sie uns
       


Casio WSD-F30 - Hands on (Ifa 2018)

Die WSD-F30 von Casio ist eine Smartwatch, die sich besonders gut fürs Wandern eignen soll. Sie zeigt verschiedene Messwerte an - auch auf einem zweiten LC-Display.

Casio WSD-F30 - Hands on (Ifa 2018) Video aufrufen
SpaceX: Milliardär will Künstler mit zum Mond nehmen
SpaceX
Milliardär will Künstler mit zum Mond nehmen

Ein japanischer Milliardär ist der mysteriöse erste Kunde von SpaceX, der um den Mond fliegen will. Er will eine Gruppe von Künstlern zu dem Flug einladen. Die Pläne für das Raumschiff stehen kurz vor der Fertigstellung.
Von Frank Wunderlich-Pfeiffer

  1. Mondwettbewerb Niemand gewinnt den Google Lunar X-Prize

Zukunft der Arbeit: Was Automatisierung mit dem Grundeinkommen zu tun hat
Zukunft der Arbeit
Was Automatisierung mit dem Grundeinkommen zu tun hat

Millionen verlieren ihren Job, aber die Gesellschaft gewinnt dabei trotzdem: So stellen sich die Verfechter des bedingungslosen Grundeinkommens die Zukunft vor. Wie soll das gehen?
Eine Analyse von Daniel Hautmann

  1. Verbraucherschutzminister Kritik an eingeschränktem Widerspruchsrecht im Online-Handel
  2. Bundesfinanzminister Scholz warnt vor Schnellschüssen bei Digitalsteuer
  3. Sommerzeit EU-Kommission will die Zeitumstellung abschaffen

Fifa 19 und PES 2019 im Test: Knapper Punktsieg für EA Sports
Fifa 19 und PES 2019 im Test
Knapper Punktsieg für EA Sports

Es ist eher eine Glaubens- als eine echte Qualitätsfrage: Fifa 19 oder PES 2019? Golem.de zieht anhand der Versionen für Playstation 4 den Vergleich - und kommt zu einem schwierigen, aber eindeutigen Urteil.
Ein Test von Olaf Bleich und Benedikt Plass-Fleßenkämper

  1. Fifa 19 angespielt Präzisionsschüsse, Zweikämpfe und mehr Taktik
  2. EA Sports Fifa 18 bekommt kostenloses WM-Update
  3. Bestseller Fifa 18 schlägt Call of Duty in Europa

    •  /