Web

 

Wurm Netsky kommt als Harry Potter und Plexus kriecht durchs Netz

04.06.2004
Der Wurm "Netsky" tarnt sich als "Harry-Potter"-Spiel, Plexus kommt sowohl via E-Mail als auch über Windows-Sicherheitslücken.

Die Zahl der mit dem im März 2004 erstmals aufgetauchten Wurm "Netsky.P" infizierten E-Mails ist sprunghaft angestiegen, warnt der Antivirenhersteller Sophos. Als Grund vermuten die Experten den Kinostart des Films "Harry Potter und der Gefangene von Askaban". Demnach tarnt sich die Schadroutine als Buch oder Spiel zum Film.

Laut Graham Cluley, Senior Technology Consultant bei Sophos, führt die Verbindung mit Harry Potter dazu, dass Kinder die infizierten Dateianhänge öffnen. Gefragt seien die Eltern, die ihre Sprösslinge über die Virengefahren aufklären müssten. Netsky.P verbreitet sich via E-Mail und über Online-Tauschbörsen. Im Mai war der Wurm der am zweithäufigsten an Sophos gemeldete Internet-Schädling.

Vor dem neuen Hybrid-Virus "Plexus.A" warnt der Moskauer Hersteller Kaspersky Labs. Er nutzt Sicherheitslücken in den Windows-Funktionen LSASS (Local Security Authority Subsystem Service) und RPC/DCOM (Remote Procedure Call/Distributed Component Object Model) (Computerwoche.de berichtete) und verbreitet sich außerdem über E-Mail-Anhänge, Online-Tauschbörsen und lokale Netze.

Plexus kopiert sich unter der Bezeichnung "upu.exe" in den Systemordner von Windows und trägt sich im Run"-Schlüssel der Registrierdatenbank ein. Dadurch wird die Schadroutine bei jedem Start des Betriebssystems automatisch aktiviert. Sie durchsucht das gesamte Dateisystem nach E-Mail-Adressen, an die sie sich selbständig weiterverschickt. Ferner versucht Plexus, gängige Antivirenprogramme auszuhebeln und verhindert das automatisierte Herunterladen aktueller Virensignaturen, heißt es bei Kaspersky. Dazu manipuliert er die für die Aktualisierung der Virenliste zuständige Datei. Außerdem öffnet der Wurm den Port 1250 und lädt weitere Schadroutinen aus dem Internet nach, die eine Fernsteuerung des befallenen PCs ermöglichen. (lex)