Neuer Wurm tarnt sich als Microsoft-Patch

Nachdem die jüngsten Wurm-Wellen mehr und mehr Anwender zu gewissenhaften Patch-Installateuren gemacht haben, macht sich der Urheber eines neuen Wurms genau dies zu nutze. Network Associates (NAI), Kaspersky Labs und andere IT-Sicherheitsdienstleister warnen seit kurzem vor ‘Swen’ alias ‘Gibe’. Der Wurm verbreitet sich per Mail, P2P-Netzwerke und über IRC. Die Malware nutzt eine Sicherheitslücke in Microsofts Internet-Explorer aus, die seit März 2001 bekannt ist.
Empfänger der infizierten Mail werden schon mit dem Betreff aufgefordert, einen “besonderen Patch” von Microsoft zu installieren, der bereits mitgeliefert wurde. Die Mail verwendet Logos und Layout von Microsoft und ist auf den ersten Blick nicht von den Online-Dokumenten des Herstellers zu unterscheiden. Wird die Malware aktiviert, wird dem User eine Patch-Installation vorgetäuscht. Sämtliche Firewall- und Antivirus-Anwendungen werden nach Kaspersky-Informationen außer Gefecht gesetzt. Anschließend verschickt sich der Wurm an alle verfügbaren Mail-Adressen, die auf dem System zu finden sind. Der Wurm nutzt dabei einen eigenen SMTP-Server zum Versand. Beobachtet wurde auch, dass Swen-Kopien im ZIP- oder RAR-Format verschickt wurden, heißt es bei Kaspersky.

Der Wurm schreibt sich aber auch in installierte Kazaa-Clients hinein, über die Files zum Peer-to-Peer-Tausch angeboten werden. Auf diesem Weg, wie auch über den Internet Relay Chat, können also auch Rechner infiziert werden, die keine Mail entgegennehmen. Obwohl sich Swen auch eigenständig in Unternehmensnetzen verbreiten kann, stuft beispielsweise NAI das Risiko nur als “mittel” ein.

Verfasst ist der Wurm in Microsoft Visual C++ und weist einen Umfang von 107 KB auf. Microsoft weist darauf hin, dass Patches niemals per Mail versandt werden und selbst Informationen über Sicherheitslücken nur Abonnenten zugesandt werden, die sich selbst dafür eingetragen haben. Die jetzt akute Schwachstelle im IE wurde zuvor schon von anderen Würmern wie beispielsweise Klez ausgenutzt.

Silicon-Redaktion

Recent Posts

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

1 Tag ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

2 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

3 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

5 Tagen ago