17.02.2010, 09:17 Uhr
Wurm installiert Browser-Add-On
Ein Wurm installiert eine Browser-Erweiterung, die Suchanfragen abfängt und umleitet. Der Schädling verbreitet sich via Mail und über P2P-Netze.
Schädlinge, die sich als BHO (Browser Helper Object) im Internet einnisten, sind schon seit Jahren bekannt. Solche, die ein Firefox- oder Chroem-Add-On installieren, haben eher noch Seltenheitswert. Der Wurm Spybot.AKB ist ein Beispiel für einen derartigen Schädling. Er verbreitet sich per Mail und über P2P-Netze.
Luis Corrons berichtet im Blog des spanischen Antivirusherstellers Panda Security über den Wurm, der Mails mit einen vorgeblichen Twitter-Einladung verschickt. Nachrichten mit einem Betreff wie «Your friend invited you to Twitter!» enthalten einen Anhang namens «Invitation Card.zip». Darin steckt eine Exe-Datei, die auf den ersten Blick als JPG-Bild erscheint. Nach dem ersten Namensteil «document.jpg» folgen etliche Leerzeichen und erst dahinter die entscheidende Endung «.exe». Wird die Datei geöffnet und ausgeführt, installiert sie eine Browser-Erweiterung in Firefox und Google Chrome. Beim Mozilla-Browser heisst sie «Firefox security 2.0» und leitet bestimmte Suchanfragen auf Websites um, die weitere Malware enthalten können. Die Liste der Suchbegriffe reicht von Airlines und Antivirus bis Wallpaper und Weather. Diese Websites sind inzwischen nicht mehr erreichbar. Bei Chrome gibt es sich als Google Buzz aus, Googles Twitter- und Facebook-Konkurrent.
Die Verbreitung über P2P-Netze erfolgt, indem sich der Wurm unter diversen Dateinamen in die jeweiligen Download-Verzeichnisse von P2P-Programmen wie eMule, LimeWire, Morpheus oder Kazaa kopiert. Die Dateinamen sollen den Schädling als harmlose Software tarnen, sie lauten beispielsweise «Adobe Photoshop CS4 crack.exe», «GoogleUpdates.exe» oder «Windows 7 Ultimate keygen.exe». Der Wurm deaktiviert die Benutzerkontensteuerung (UAC) von Windows 7 und Vista sowie das Ereignisprotokoll. Er trägt sich in der Registry zum automatischen Laden bei jedem Windows-Start ein und in der Firewall-Konfiguration als freigegebenes Programm. Bei Sophos ist der Schädling als W32/Zuggie-A bekannt.