Im Wurm ist der Browser drin

23.05.2006
Neue Malware installiert einen Web-Browser, der sich als Internet Explorer (IE) ausgibt.

Forscher der FaceTime Security Labs warnen vor dem von ihnen als "hinterlistig" eingestuften Schädling "yhoo32.explr", der sich via Yahoo! Messenger verbreitet und Windows betrifft. Es soll sich dabei um das erste Wurmexemplar mit eigenem Browser handeln.

Nach Angaben des Security-Anbieters erhält der Nutzer zunächst via Instant Messaging (IM) einen Link, der regionsspezifische Inhalte verspricht. Tatsächlich installiert die Site jedoch eine bösartige Befehlsdatei und den so genannten "Safety Browser". Dieser lotst den Nutzer zu einer Seite namens "Demoplanet.tv", indem er die persönliche IE-Homepage des Nutzers verändert. Dort wird der User mit Spy- und Adware bombardiert. Um weitere Verwirrung zu stiften, tarnt sich der vermeintliche Browser mitunter mit einem IE-Logo. Laut FaceTime handelt es sich dabei offenbar um eine Shell für den IE.

Für seine Verbreitung sorgt der Schädling, indem er einen Link an die Yahoo-Messenger-Kontakte auf befallenen Rechnern sendet. Dabei kontaktiert eine Datei auf dem PC eine URL, die die Infektionsroutine fortlaufend verändert, um die Message auf den Yahoo Messenger, IRC und andere Messaging-Systeme anzupassen. Nach Angaben von FaceTime überschreibt sie sogar willkürlich IM-Nachrichten des Nutzers. Screenshots des Infektionsprozesses sind im Blog des Anbieters zu sehen.

Darüber hinaus spielt der Wurm beim Starten des PCs und des "Browsers" schrille Musik ab, die Microsofts Windows XP Service Pack 2 nach Angaben von FaceTime allerdings blockt. (kf)