Neuer Wurm tarnt sich als Microsoft-Patch

EnterpriseSicherheit

Nachdem die jüngsten Wurm-Wellen mehr und mehr Anwender zu gewissenhaften Patch-Installateuren gemacht haben, macht sich der Urheber eines neuen Wurms genau dies zu nutze.

Nachdem die jüngsten Wurm-Wellen mehr und mehr Anwender zu gewissenhaften Patch-Installateuren gemacht haben, macht sich der Urheber eines neuen Wurms genau dies zu nutze. Network Associates (NAI), Kaspersky Labs und andere IT-Sicherheitsdienstleister warnen seit kurzem vor ‘Swen’ alias ‘Gibe’. Der Wurm verbreitet sich per Mail, P2P-Netzwerke und über IRC. Die Malware nutzt eine Sicherheitslücke in Microsofts Internet-Explorer aus, die seit März 2001 bekannt ist.
Empfänger der infizierten Mail werden schon mit dem Betreff aufgefordert, einen “besonderen Patch” von Microsoft zu installieren, der bereits mitgeliefert wurde. Die Mail verwendet Logos und Layout von Microsoft und ist auf den ersten Blick nicht von den Online-Dokumenten des Herstellers zu unterscheiden. Wird die Malware aktiviert, wird dem User eine Patch-Installation vorgetäuscht. Sämtliche Firewall- und Antivirus-Anwendungen werden nach Kaspersky-Informationen außer Gefecht gesetzt. Anschließend verschickt sich der Wurm an alle verfügbaren Mail-Adressen, die auf dem System zu finden sind. Der Wurm nutzt dabei einen eigenen SMTP-Server zum Versand. Beobachtet wurde auch, dass Swen-Kopien im ZIP- oder RAR-Format verschickt wurden, heißt es bei Kaspersky.

Der Wurm schreibt sich aber auch in installierte Kazaa-Clients hinein, über die Files zum Peer-to-Peer-Tausch angeboten werden. Auf diesem Weg, wie auch über den Internet Relay Chat, können also auch Rechner infiziert werden, die keine Mail entgegennehmen. Obwohl sich Swen auch eigenständig in Unternehmensnetzen verbreiten kann, stuft beispielsweise NAI das Risiko nur als “mittel” ein.

Verfasst ist der Wurm in Microsoft Visual C++ und weist einen Umfang von 107 KB auf. Microsoft weist darauf hin, dass Patches niemals per Mail versandt werden und selbst Informationen über Sicherheitslücken nur Abonnenten zugesandt werden, die sich selbst dafür eingetragen haben. Die jetzt akute Schwachstelle im IE wurde zuvor schon von anderen Würmern wie beispielsweise Klez ausgenutzt.