Trojaner tarnt sich als Windows-Patch

Die Antiviren-Experten des Kaspersky Lab haben eine Warnung vor einer neuen Version des Internet-Wurms „I-Worm.Leave“ ausgesprochen. Diese verbreite sich getarnt als Microsoft-Mitteilung. Die Mail enthält angeblich Informationen über ein Sicherheits-Update für Windows, aber die angeführte Internet-Adresse des Patches ist inkorrekt. Die URL sei einer original Microsoft-Adresse ähnlich, so dass nur aufmerksame Anwender den Unterschied bemerken würden.

Bei seiner Aktivierung versuche der Virus, die Datei „cvr58-ms.exe“ herunter zu laden, die ein Trojaner-Programm enthalte. Kaspersky Lab erhielt nach eigenen Aussagen bereits Meldungen über Infektionen durch diese Variante von Leave.

Eine Besonderheit des Trojaners soll es sein, sich via Internet automatisch zu aktualisieren, dazu lädt er sich für den Anwender unmerklich zusätzliche Komponenten herunter. Eine Fernsteuerung des befallenen Rechners wird so möglich.

Der Internet-Wurm Leave kann Computer nicht nur unter Windows 95/98/ME, sondern auch unter Windows NT/2000 befallen. Beim Starten der Hauptkomponente kopiert sich der Wurm ins Windows-Verzeichnis unter dem Namen REGSV.EXE, und trägt diese Datei in den Autostart-Bereich der Windows-Registry ein. Code und Zusatzmodule des Virus sind mit einem 64-Bit Algorithmus verschlüsselt.

Wichtig ist hierbei allerdings, dass dieser Internet-Wurm nur Rechner angreift, die bereits mit dem Trojaner „Sub Seven“ infiziert sind. Der Hauptbestandteil des Wurms enthält einen Text-String mit einem Master-Passwort für das Hintertür-Programm Sub Seven. Auf diese Weise kann der Wurm auch weitere Rechner infizieren, auf denen Sub Seven bereits installiert ist, und sich selbst auf den entsprechenden Systemen installieren. Um die Adressen der Ziel-Rechner zu finden, benutzt der Wurm eine „Sniffer“ (Scanner)-Routine, mit deren Hilfe er das Internet nach IP-Adressen entfernter Rechner durchsucht.

ZDNet.de Redaktion

Recent Posts

Starbucks von Cyberattacke betroffen

Ransomware-Angriff auf die KI-gesteuerte Lieferkettenplattform Blue Yonder hat weitreichende Auswirkungen.

12 Stunden ago

Was kann die Apple Watch Series 10?

Seit Ende September ist sie also verfügbar: die Apple Watch 10. Auch in Deutschland kann…

16 Stunden ago

Microsoft-Clouds: GenAI verändert Servicegeschäft

ISG sieht engere Vernetzung zwischen Hyperscaler, IT-Partnern und Endkunden. Treiber ist das Zusammenspiel von KI…

16 Stunden ago

Agentforce Testing Center: Management autonomer KI-Agenten

Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…

2 Tagen ago

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

2 Tagen ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

5 Tagen ago