Ein neuer Internet-Wurm treibt sein Unwesen im Netz. Der russische Datensicherheitsspezialist Kaspersky Labs warnt vor "Tanatos", der sich über E-Mails und lokale Netzwerke verbreitet und vertrauliche Daten, die auf den betroffenen PCs gespeichert sind, entwendet. Kaspersky habe bereits Meldungen über Infizierungen durch diese Malware aus Großbritannien und anderen Ländern erhalten. Tanatos ist eine Windows-Anwendung von einer Größe von ungefähr 50 KB, die in der Programmiersprache Microsoft Visual C++ geschrieben ist. Das Problem bei dem Wurm besteht darin, dass die E-Mails selbst unterschiedliche Betreffzeilen, Texte und Namen der angehängten Dateien sowie sogar unterschiedliche Formate aufweisen. Dieser Umstand erschwere den Identifikationsvorgang von infizierten E-Mails nach äußeren Kennzeichen wesentlich. ist der Wurm einmal im System, können Hacker den infizierten PC "fernsteuern".
Zudem haben infizierte Nachrichten mit gleicher Wahrscheinlichkeit ein gewöhnliches Text- bzw. HTML-Format. Im ersten Fall muss der User für eine Aktivierung des Wurms die angehängte Datei selbst starten, während im letzteren Fall Tanatos, nachdem er in der Mail-Box eines potenziellen Opfers gelandet ist, wartet bis die Mail geöffnet wird (z.B. in der Preview-Zeile) und dann die Schwachstelle Iframe im Sicherheitssystem des Internet Explorers benutzt, um den Computer unauffällig zu infizieren. Zur Verbreitung in einem lokalen Netz durchsucht der Wurm alle zugänglichen Verzeichnisse des Netzwerks, sucht nach dem Windows-Startup-Systemverzeichnis und schreibt dort seine Kopie hinein, welche bei einem Neustart des Systems ausgeführt wird. Diese Funktion kann nur dann ausgeführt werden, wenn auf dem betroffenen Computer Zugangsrechte für das erwähnte Verzeichnis installiert sind.
Nachdem er den Computer infiziert hat, schreibt sich der Wurm in den Schlüssel für den automatischen Start des Windows-Systemverzeichnisses, so dass die Malware bei jedem Neustart von Windows aktiviert wird. Dabei versucht Tanatos die jeweils aktiven Vorgänge der meisten Antiviren-Programme und Personal Firewalls zu schließen. Tanatos enthält außerdem einige "Trojaner"-Funktionen, weshalb diese Malware besonders gefährlich ist. So installiert er einen Tastatur-Fehler (die Datei KEYLOGGERDLL im Windows-Systemverzeichnis), durch den er jeden eingegebenen Text (auch System-Passwörter) in einer speziellen Datei speichert. Dadurch wird eine unautorisierte entfernte Steuerung installiert, die es Hackern ermöglicht, vollständige Kontrolle über den infizierten Computer zu gewinnen. Zur Ausführung dieser Operationen öffnet der Wurm unauffällig den HTTP-Server und stellt dem Hacker ein Web-Interface für die Arbeit mit dem infizierten System zur Verfügung. (
pte)
Links zum Thema:
Navigation
Trojaner-Wurm nutzt Windows-Sicherheitslücke
Linear-Darstellung
