Trojaner tarnt sich als Windows-Patch

Die Antiviren-Experten des Kaspersky Lab haben eine Warnung vor einer neuen Version des Internet-Wurms „I-Worm.Leave“ ausgesprochen. Diese verbreite sich getarnt als Microsoft-Mitteilung. Die Mail enthält angeblich Informationen über ein Sicherheits-Update für Windows, aber die angeführte Internet-Adresse des Patches ist inkorrekt. Die URL sei einer original Microsoft-Adresse ähnlich, so dass nur aufmerksame Anwender den Unterschied bemerken würden.

Bei seiner Aktivierung versuche der Virus, die Datei „cvr58-ms.exe“ herunter zu laden, die ein Trojaner-Programm enthalte. Kaspersky Lab erhielt nach eigenen Aussagen bereits Meldungen über Infektionen durch diese Variante von Leave.

Eine Besonderheit des Trojaners soll es sein, sich via Internet automatisch zu aktualisieren, dazu lädt er sich für den Anwender unmerklich zusätzliche Komponenten herunter. Eine Fernsteuerung des befallenen Rechners wird so möglich.

Der Internet-Wurm Leave kann Computer nicht nur unter Windows 95/98/ME, sondern auch unter Windows NT/2000 befallen. Beim Starten der Hauptkomponente kopiert sich der Wurm ins Windows-Verzeichnis unter dem Namen REGSV.EXE, und trägt diese Datei in den Autostart-Bereich der Windows-Registry ein. Code und Zusatzmodule des Virus sind mit einem 64-Bit Algorithmus verschlüsselt.

Wichtig ist hierbei allerdings, dass dieser Internet-Wurm nur Rechner angreift, die bereits mit dem Trojaner „Sub Seven“ infiziert sind. Der Hauptbestandteil des Wurms enthält einen Text-String mit einem Master-Passwort für das Hintertür-Programm Sub Seven. Auf diese Weise kann der Wurm auch weitere Rechner infizieren, auf denen Sub Seven bereits installiert ist, und sich selbst auf den entsprechenden Systemen installieren. Um die Adressen der Ziel-Rechner zu finden, benutzt der Wurm eine „Sniffer“ (Scanner)-Routine, mit deren Hilfe er das Internet nach IP-Adressen entfernter Rechner durchsucht.