Konsolen-Virus im Kazaa-Netzwerk

Sophos hat eine Warnung vor einer neuen Familie von Computer-Viren ausgegeben. Die so genannten „Surnova“-Würmer verbreiten sich via Instant Messaging und über das Kazaa-Netzwerk. Sie wenden sich speziell an Fans von Spielekonsolen.

In der Vergangenheit waren viele Viren erfolgreich, indem sie beispielsweise mit glamourösen russischen Tennis-Spielerinnen warben. Die Surnova Würmer verlassen sich zwar auch auf den Reiz prominenter Zeitgenossen – so sind sie mit Dateinamen versehen, die auf erotische Videos der Pop-Stars Britney Spears, Christina Aguilera und Jennifer Lopez schließen lassen – aber sie geben sich auch als Emulator von X-Box oder Gamecube aus. Der Anhang höre dann auf Namen wie „XBOX emulator (WORKS!!).exe“ oder „Gamecube Emulator (WORKS!!).exe“.

„Die Fans bekannter Konsolen-Spiele wie Halo und Pikmin könnten versucht sein, eines dieser Programme zu aktivieren und so zu versuchen, ihren PC in eine Microsoft X-Box oder einen Nintendo Gamecube zu verwandeln“, mutmaßte Gernot Hacker, Senior Technology Consultant bei Sophos. „Es gibt jedoch Dinge, die zu schön sind, um wahr zu sein. Anwender sollten sich vor unbekannten ausführbaren Dateien in Acht nehmen und niemals unberechtigte Programme in die Firma bringen.“

Der Wurm kopiert sich nach dem Öffnen des Anhangs zuerst in den Windows-Ordner mit einem der folgenden Dateinamen:

• Alles-ist-vorbei.exe
• Desktop-shooting.exe
• Hello-Kitty.exe
• BigMac.exe
• Cheese-Burger.exe
• Blaargh.exe

Daraufhin setzt er den folgenden Registrierungseintrag, um auf die neue Kopie des Wurms zu verweisen. Diese Datei wird folglich beim Start von Windows ausgeführt:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunSupernova

Nachdem er zum ersten Mal ausgeführt wurde, zeigt der Wurm folgende falsche Fehlermeldung an:

„Application attempted to read memory at 0xFFFFFFFFh
Terminating application“

W32/Surnova-B fragt den folgenden Registrierungseintrag nach einem Ordner ab, der im Kazaa-Netzwerk freigegeben ist:

HKLMSoftwareKaZaALocalContent

Wird ein Wert nicht gefunden, verwendet der Wurm den Ordner C:Media. Er erstellt daraufhin 38 Kopien von sich in diesem Ordner mit den folgenden Dateinamen:

• Windows XP key generator.exe
• Windows XP serial generator.exe
• Key generator for all windows XP versions.exe
• Warcraft 3 ONLINE key generator.exe
• Half-life ONLINE key generator.exe
• Quake 4 BETA.exe
• Grand theft auto 3 CD1 crack.exe
• GTA3 crack.exe
• Battle.net key generator (WORKS!!).exe
• Warcraft 3 battle.net serial generator.exe
• Half-life WON key generator.exe
• Star wars episode 2 downloader.exe
• Winzip 8.0 + serial.exe
• Winrar + crack.exe
• Britney spears nude.exe
• Macromedia MX key generator (all products).exe
• KaZaA media desktop v2.0 UNOFFICIAL.exe
• Microsoft key generator, works for ALL microsoft products!!.exe
• Microsoft Windows XP crack pack.exe
• Hack into any computer!!.exe
• DivX codec v6.0.exe
• DivX newest version.exe
• DivX.exe
• DivX pro key generator.exe
• Key generator for over 1,000 applications (really!).exe
• DivX patch – Increases quality.exe
• KaZaA spyware remover.exe
• Age of empires 2 crack.exe
• Norton antivirus 2002.exe
• Macromedia Dreamweaver MX Key Generator.exe
• Macromedia Flash MX Key Generator.exe
• Neverwinter nights crack.exe
• Microsoft Office XP (english) key generator.exe
• Microsoft Office XP.iso.exe
• CloneCD + crack.exe
• CloneCD all-versions key generator.exe
• XBOX emulator (WORKS!!).exe
• Gamecube Emulator (WORKS!!).exe
• Xbox.info.exe

W32/Surnova-B versucht, sich an Einträge aus der Messenger-Kontakliste des infizierten Anwenders zu senden. Der Wurm erscheint in einer der folgenden E-Mails:

• Hehe, check this out :-)
• Funny, check it out (h)
• LOL!! See this :D
• LOL!! Check this out :)
• Hehe, this is fun :-)

Der Wurm erstellt eine Textdatei im Windows-Ordner mit einem Namen, der aus zufällig erzeugten Ziffern besteht. Die Textdatei enthält folgenden Text:

• W32.Supernova – Ban religion
• Patch the leaks or the ship will sink

ZDNet bietet ein Virencenter mit aktuellen Informationen rund um die Gefahr aus dem Cyberspace, eine umfassende Sammlung aktueller Antiviren-Software und einen kostenlosen Live-Viren-Check .

Kontakt: Sophos, Tel.: 06136/91193 (günstigsten Tarif anzeigen)