TweakPC



Der Internet-Wurm 'Leave' tarnt sich als Ergänzung des populären Betriebssystems

Trojaner versteckt sich in Windows-Patch

Moskau, 11. Juli 2001

Kaspersky Lab, die internationale Software-Schmiede im Bereich Datensicherheit, warnt die Benutzer vor dem Aufkommen einer neuen Version des Internet-Wurms „I-Worm.Leave”, die sich im Netz als Microsoft-Meldung verbreitet. Die Meldung enthält Informationen über ein Sicherheits-Update für Windows, aber die angeführte Internet-Adresse des 'Patches ist verfälscht. Die verfälschte URL ist der von Microsoft ähnlich, so dass nur aufmerksame User den Unterschied bemerken. Bei seiner Aktivierung versucht der Virus die Datei cvr58-ms.exe herunterzuladen, die ein Trojaner-Programm enthält. Kaspersky Lab erhielt bereits einige Meldungen über Infektionen durch diese Variante von 'Leave'.

Eine Besonderheit des Trojaners ist die Möglichkeit, sich via Internet automatisch zu aktualisieren, d.h. für den Anwender unmerklich zusätzliche Komponenten herunterzuladen und zu aktivieren (EXE-Dateien). Das ermöglicht die Fernsteuerung der infizierten Computer. Der Virus besitzt unter anderem folgende Möglichkeiten: Automatische Aktivierung, Verbreitung durch IRC-Kanäle (Internet Relay Chat), sowie Erzeugen, Bearbeiten und Löschen von Dateien auf dem infizierten Computer.

Der Internet-Wurm 'Leave' kann Computer nicht nur unter Windows 95/98/ME, sondern auch unter Windows NT/2000 befallen. Beim Starten der Hauptkomponente kopiert sich der Wurm ins Windows-Verzeichnis unter dem Namen REGSV.EXE, und trägt diese Datei in den Autostart-Bereich der Windows-Registry ein. Code und Zusatzmodule des Virus sind mit einem 64-Bit Algorithmus verschlüsselt.

Wichtig ist hierbei allerdings, dass dieser Internet-Wurm nur Rechner angreift, die bereits mit dem Trojaner 'Subseven' infiziert sind. Der Hauptbestandteil des Wurms enthält einen Text-String mit einem Master-Passwort für das Hintertür-Programm SubSeven. Auf diese Weise kann der Wurm auch weitere Rechner infizieren, auf denen SubSeven bereits installiert ist, und sich selbst auf den entsprechenden Systemen installieren. Um die Adressen der Ziel-Rechner zu finden, benutzt der Wurm eine Sniffer- (Scanner-) Routine, mit deren Hilfe er das Internet nach IP-Adressen entfernter Rechner durchsucht.

Ein Update zum Schutz gegen den Wurm "Leave" wurde der Datenbank von Kaspersky-Antivirus™ bereits hinzugefügt.

 

ueber TweakPC: Impressum, Datenschutz Copyright 1999-2024 TweakPC, Alle Rechte vorbehalten, all rights reserved. Mit * gekennzeichnete Links sind Affiliates.