Wurm Bropia-S macht sich breit

Die Viren-Experten von Microworld haben eine Warnung vor dem jetzt veröffentlichten Wurm Bropia-S veröffentlicht. Der neue Übeltäter verbreitet sich über den MSN-Messenger. Einmal ausgeführt, kreiert und startet er die Dateien „bot.exe“ (enthält W32/Borpia-S) und „botz.exe“ (enthält W32/Forbot-EK) im jeweiligen Ordner.

Danach kann der Wurm eine Meldung in niederländischer Sprache anzeigen. Nach Akzeptierung dieser Nachricht erscheint ein WinRAR Applikations-Fenster. Bropia-S zeigt den MSN Messenger-Status und sendet eine Kopie von sich an alle Messenger-Kontakte.

Forbot-EK wiederum versucht sicht über offene Netzwerkfreigaben, die Remote erreichbar sind, zu verbreiten. Er enthält eine Backdoor-Trojaner-Funktion, die unerlaubten Remote-Zugriff auf dem infizierten Computer über IRC-Channels ermöglicht. Der Wurm erstellt folgende Registry-Einträge, um seinen Start sicherzustellen wenn sich ein User in Windows einloggt:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
doit.exe
„doit.exe“

HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce
doit.exe
„doit.exe“

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
doit.exe
„doit.exe“

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
doit.exe
„doit.exe“

HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
doit.exe
„doit.exe“

Außerdem versucht Forbot-EK mittels seiner Backdoor-Funktionalität, Angreifern Zugriff auf den Computer zu ermöglichen. Der Wurm kann auch Netzwerkfreigaben des infizierten Rechners zu löschen und beendet Prozesse von Sicherheitsprodukten, wie Antiviren-Scanner oder Firewalls.