Wurm „Swen“ tarnt sich als Microsoft-Patch

Kaspersky Labs warnt vor einem neuen Wurm namens „Swen“, der sich als Microsoft-Patch tarnt. Der digitale Übeltäter verbreitet sich laut den Antivirenspezialisten per Mail, dem Peer-to-Peer-Netzwerk Kazaa und IRC-Channels. „Infizierte Meldungen geben vor, von verschiedenen Microsoft-Diensten wie MS Technical Assistance oder Microsoft Internet Security Solution zu stammen“, so die Warnung.

Im Text der werde dem Anwender empfohlen, den beigefügten „speziellen Patch“ von Microsoft zu installieren. Kaspersky Labs rechnet bislang mit „zehntausenden Swen-Infektionen“ weltweit bei steigender Anzahl. Die Lücke, die Swen nützt, ist indes nicht neu: Es handelt sich um die im März 2001 entdeckte Schwachstelle des Internet Explorer, über die schon zahlreiche andere bekannt gewordene Würmer wie Klez in PCs eingedrungen sind.

Einmal auf einem ungeschützten Rechner aktiviert, verbreite sich Swen von selbst. Die neue Malware sei in Microsoft Visual C++ programmiert und 107 KByte groß. Der Wurm aktiviert sich nicht nur, wenn die infizierte Datei ausgeführt wird, sondern auch, wenn das E-Mail-Programm die Schwachstelle IFrame.FileDownload besitzt. Swen installiert sich dann selbständig in das System und vervielfältigt sich.

Sobald er aktiv wird, erscheint ein Fenster auf dem Bildschirm, das sich Microsoft Internet Update Pack nennt und die Installation eines Patches vortäuscht. „Gleichzeitig blockiert der bösartige Code sämtliche Firewall- und Anti-Virus-Software“, so Kaspersky. Dann scanne Swen das Datei­system des infizierten Computers, extrahiere sämtliche E-Mail-Adressen und verschicke sich selbst an alle verfügbaren Adressen über eine direkte Verbind­ung zu einem SMTP-Server.