Neuer Wurm Spybot.AKB lockt mit Social-Network-Einladungen

Das Labor von Panda Security hat eine neue Wurm-Variante entdeckt: Spybot.AKB verbreitet sich via E-Mail sowie über Online-Datentauschbörsen und tarnt sich als Einladung für Soziale Netzwerke wie Twitter, Google Buzz und Hi5 oder als Nachricht von Amazon, Hallmark oder Google.

Der seltene Schädlingstyp installiert nach dem Öffnen einer Datei Browser-Erweiterungen in Firefox und Google Chrome. Diese scheinbar harmlosen Programme, die zum Beispiel „Firefox Security 2.0“ heißen, leiten bestimmte Suchanfragen auf schädliche Webseiten um. Spybot.AKB verringert außerdem die Sicherheitsstufe infizierter Computer, setzt sich in der Windows-Firewall selbst auf die Liste autorisierter Programme und deaktiviert die Windows-Funktionen für die Erstellung des Ereignisprotokolls und die Kontrolle der Benutzerkonten.

Die infizierten Mails haben als Betreff zum Beispiel „Your friend invited you to Twitter!“, „Jessica would like to be your friend on Hi5“ oder „Thank you from Google“. Sie enthalten nicht nur das Logo des jeweiligen Netzwerks, sondern auch mehrere Links zur Original-Website. In der angehängten ZIP-Datei „Invitation Card“ steckt aber eine EXE-Datei, die zunächst als JPEG-Bild erscheint und erst am Ende des Dateinamens nach etlichen Leerzeichen anhand der Endung .EXE als ausführbare und damit potenziell gefährliche Datei erkannt werden kann.

Neben dem Weg über E-Mail nutzt der Wurm auch bekannte Online-Tauschbörsen wie eMule, Bearshare oder Morpheus. Hier verbreitet sich der Wurm, indem er sich unter verschiedenen Dateinamen in die Downloadverzeichnisse der Portal-Programme kopiert. Meist tarnt er sich mit den Namen gängiger Software, etwa Adobe Photoshop oder Windows 7. Führt man die Datei aus, installiert sie genau wie der E-Mail-Anhang falsche Browser-Erweiterungen.