computerwoche.de

Security

Gefälschter Bild-Download

Palevo verbreitet sich über Instant Messenger

04.05.2010
Von 

Patrick Hagn hat bis November 2019 das Competence Center Video geleitet. Er war zuständig für alle Videos auf Computerwoche, CIO und Channelpartner.

Alle Posts des Autors Connect:
Der jüngste Spross der Wurm-Familie ist bösartiger denn je. Laut BitDefender hätten Cyberkriminelle in den vergangenen Tagen eine Welle von automatisch generierten Instant Messages auf die Reise geschickt.

In der Nachricht findet sich ein grinsender Smiley und ein Link, der den User angeblich zu einem persönlichen Foto oder einer ganzen Galerie leitet. Dort versteckt sich statt einem Bild jedoch Worm.P2P.Palveo.DP. Dieser Wurm öffnet Remote-Angreifern eine „Hintertür“ zu fremden PCs.

Lädt man sich die .jpg-Datei herunter, schleust sich Palevo.DP auf dem Rechner ein. Auf einem ungeschützten System kann sich der Wurm so richtig austoben. Zunächst erstellt er mehrere versteckte Dateien im Windows-Ordner mit den Bezeichnungen mds.sys, mdt.sys, winbrd.jpg und infocard.exe. Anschließend verändert Palevo.DP einige Registrierungsschlüssel und setzt so die lokale Firewall des Betriebssystems außer Kraft.

Wie seine „Geschwister“ enthält Palevo.DP eine Backdoor-Komponente, die es Angreifern ermöglicht, den Computer zu kapern. Cyberkriminelle können auf diese Weise weitere bösartige Software installieren, um unbemerkt neue Spam-Kampagnen zu starten und andere Systeme mit Malware zu attackieren.

Die Palevo-Familie kann auch Passwörter und andere sensible Daten stehlen, die in Mozilla Firefox oder dem Microsoft Internet Explorer gespeichert sind. Die Nutzung von E-Banking- oder Online-Shopping-Diensten wird dann besonders gefährlich. Der Verbreitungsmechanismus umfasst auch die Infektion von freigegebenen Netzwerkordnern und Wechseldatenträgern. Hier aktiviert sich der Wurm über die Autorun-Funktion in Windows.

Palevo-Würmer verbreiten sich zudem über Peer-2-peer-Plattformen wie Ares, BearShare, iMesh, Shareza, Kazaa, DC++, eMule und LimeWire, indem sie ihren Code in die dort freigegebenen Dateien injizieren.

„Wir empfehlen Nutzern von Instant Messaging-Diensten, äußerst vorsichtig zu sein und nicht blind auf unbekannte Links zu klicken. Jeder User sollte Links im Vorhinein gut prüfen und darauf achten, dass sie nicht auf bösartige Websites verweisen“, rät Catalin Cosoi, BitDefender Senior Researcher. „Palevo ist sehr aggressiv. Bereits kurz nach dessen Ausbruch haben wir Infektionsraten von 500 Prozent und mehr pro Stunde für Länder wie Rumänien, die Mongolei oder Indonesien registriert." (Bitdefender/pah)