Konsolen-Virus im Kazaa-Netzwerk

Sophos hat eine Warnung vor einer neuen Familie von Computer-Viren ausgegeben. Die so genannten „Surnova“-Würmer verbreiten sich via Instant Messaging und über das Kazaa-Netzwerk. Sie wenden sich speziell an Fans von Spielekonsolen.

In der Vergangenheit waren viele Viren erfolgreich, indem sie beispielsweise mit glamourösen russischen Tennis-Spielerinnen warben. Die Surnova Würmer verlassen sich zwar auch auf den Reiz prominenter Zeitgenossen – so sind sie mit Dateinamen versehen, die auf erotische Videos der Pop-Stars Britney Spears, Christina Aguilera und Jennifer Lopez schließen lassen – aber sie geben sich auch als Emulator von X-Box oder Gamecube aus. Der Anhang höre dann auf Namen wie „XBOX emulator (WORKS!!).exe“ oder „Gamecube Emulator (WORKS!!).exe“.

„Die Fans bekannter Konsolen-Spiele wie Halo und Pikmin könnten versucht sein, eines dieser Programme zu aktivieren und so zu versuchen, ihren PC in eine Microsoft X-Box oder einen Nintendo Gamecube zu verwandeln“, mutmaßte Gernot Hacker, Senior Technology Consultant bei Sophos. „Es gibt jedoch Dinge, die zu schön sind, um wahr zu sein. Anwender sollten sich vor unbekannten ausführbaren Dateien in Acht nehmen und niemals unberechtigte Programme in die Firma bringen.“

Der Wurm kopiert sich nach dem Öffnen des Anhangs zuerst in den Windows-Ordner mit einem der folgenden Dateinamen:

  • Alles-ist-vorbei.exe
  • Desktop-shooting.exe
  • Hello-Kitty.exe
  • BigMac.exe
  • Cheese-Burger.exe
  • Blaargh.exe

Daraufhin setzt er den folgenden Registrierungseintrag, um auf die neue Kopie des Wurms zu verweisen. Diese Datei wird folglich beim Start von Windows ausgeführt:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunSupernova

Nachdem er zum ersten Mal ausgeführt wurde, zeigt der Wurm folgende falsche Fehlermeldung an:

„Application attempted to read memory at 0xFFFFFFFFh
Terminating application“

W32/Surnova-B fragt den folgenden Registrierungseintrag nach einem Ordner ab, der im Kazaa-Netzwerk freigegeben ist:

HKLMSoftwareKaZaALocalContent

Wird ein Wert nicht gefunden, verwendet der Wurm den Ordner C:Media. Er erstellt daraufhin 38 Kopien von sich in diesem Ordner mit den folgenden Dateinamen:

  • Windows XP key generator.exe
  • Windows XP serial generator.exe
  • Key generator for all windows XP versions.exe
  • Warcraft 3 ONLINE key generator.exe
  • Half-life ONLINE key generator.exe
  • Quake 4 BETA.exe
  • Grand theft auto 3 CD1 crack.exe
  • GTA3 crack.exe
  • Battle.net key generator (WORKS!!).exe
  • Warcraft 3 battle.net serial generator.exe
  • Half-life WON key generator.exe
  • Star wars episode 2 downloader.exe
  • Winzip 8.0 + serial.exe
  • Winrar + crack.exe
  • Britney spears nude.exe
  • Macromedia MX key generator (all products).exe
  • KaZaA media desktop v2.0 UNOFFICIAL.exe
  • Microsoft key generator, works for ALL microsoft products!!.exe
  • Microsoft Windows XP crack pack.exe
  • Hack into any computer!!.exe
  • DivX codec v6.0.exe
  • DivX newest version.exe
  • DivX.exe
  • DivX pro key generator.exe
  • Key generator for over 1,000 applications (really!).exe
  • DivX patch – Increases quality.exe
  • KaZaA spyware remover.exe
  • Age of empires 2 crack.exe
  • Norton antivirus 2002.exe
  • Macromedia Dreamweaver MX Key Generator.exe
  • Macromedia Flash MX Key Generator.exe
  • Neverwinter nights crack.exe
  • Microsoft Office XP (english) key generator.exe
  • Microsoft Office XP.iso.exe
  • CloneCD + crack.exe
  • CloneCD all-versions key generator.exe
  • XBOX emulator (WORKS!!).exe
  • Gamecube Emulator (WORKS!!).exe
  • Xbox.info.exe

W32/Surnova-B versucht, sich an Einträge aus der Messenger-Kontakliste des infizierten Anwenders zu senden. Der Wurm erscheint in einer der folgenden E-Mails:

  • Hehe, check this out :-)
  • Funny, check it out (h)
  • LOL!! See this :D
  • LOL!! Check this out :)
  • Hehe, this is fun :-)

Der Wurm erstellt eine Textdatei im Windows-Ordner mit einem Namen, der aus zufällig erzeugten Ziffern besteht. Die Textdatei enthält folgenden Text:

  • W32.Supernova – Ban religion
  • Patch the leaks or the ship will sink

ZDNet bietet ein Virencenter mit aktuellen Informationen rund um die Gefahr aus dem Cyberspace, eine umfassende Sammlung aktueller Antiviren-Software und einen kostenlosen Live-Viren-Check .

Kontakt: Sophos, Tel.: 06136/91193 (günstigsten Tarif anzeigen)

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago