Trojaner tarnt sich als Windows-Patch

Die Antiviren-Experten des Kaspersky Lab haben eine Warnung vor einer neuen Version des Internet-Wurms „I-Worm.Leave“ ausgesprochen. Diese verbreite sich getarnt als Microsoft-Mitteilung. Die Mail enthält angeblich Informationen über ein Sicherheits-Update für Windows, aber die angeführte Internet-Adresse des Patches ist inkorrekt. Die URL sei einer original Microsoft-Adresse ähnlich, so dass nur aufmerksame Anwender den Unterschied bemerken würden.

Bei seiner Aktivierung versuche der Virus, die Datei „cvr58-ms.exe“ herunter zu laden, die ein Trojaner-Programm enthalte. Kaspersky Lab erhielt nach eigenen Aussagen bereits Meldungen über Infektionen durch diese Variante von Leave.

Eine Besonderheit des Trojaners soll es sein, sich via Internet automatisch zu aktualisieren, dazu lädt er sich für den Anwender unmerklich zusätzliche Komponenten herunter. Eine Fernsteuerung des befallenen Rechners wird so möglich.

Der Internet-Wurm Leave kann Computer nicht nur unter Windows 95/98/ME, sondern auch unter Windows NT/2000 befallen. Beim Starten der Hauptkomponente kopiert sich der Wurm ins Windows-Verzeichnis unter dem Namen REGSV.EXE, und trägt diese Datei in den Autostart-Bereich der Windows-Registry ein. Code und Zusatzmodule des Virus sind mit einem 64-Bit Algorithmus verschlüsselt.

Wichtig ist hierbei allerdings, dass dieser Internet-Wurm nur Rechner angreift, die bereits mit dem Trojaner „Sub Seven“ infiziert sind. Der Hauptbestandteil des Wurms enthält einen Text-String mit einem Master-Passwort für das Hintertür-Programm Sub Seven. Auf diese Weise kann der Wurm auch weitere Rechner infizieren, auf denen Sub Seven bereits installiert ist, und sich selbst auf den entsprechenden Systemen installieren. Um die Adressen der Ziel-Rechner zu finden, benutzt der Wurm eine „Sniffer“ (Scanner)-Routine, mit deren Hilfe er das Internet nach IP-Adressen entfernter Rechner durchsucht.

ZDNet.de Redaktion

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

2 Stunden ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

5 Stunden ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

14 Stunden ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

1 Tag ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

1 Tag ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

2 Tagen ago