Zwei Würmer greifen MSN Messenger an

Trend Micro hat einen globalen Yellow Alert ausgelöst, um vor zwei neuen Würmern zu warnen, die sich über die MSN Messenger Plattform verbreiten. Bislang wurde Trend Micro das Auftreten von Kelvir.b und Fatso.a aus Europa, den USA und dem asiatisch-pazifischen Raum gemeldet.

Die beiden Würmer stehen wahrscheinlich nicht in Verbindung miteinander, verwenden aber die selbe Verbreitungsmethode: An MSN Messenger Kontakte werden Nachrichten mit Links zu bestimmten Websites versendet. Sobald ein argloser Anwender den Link aufruft, beginnt der Download des Wurms. Im Fall von WORM_KELVIR.B wird nach dem Start des Wurms unter Umständen ein zusätzliches Bot-Programm heruntergeladen, das Hintertüren auf dem infizierten System öffnet.

Die speicherresidenten Würmer Kelvir.b und Fatso.a versuchen sich an alle MSN Messenger Kontakte zu verbreiten, die auf dem infizierten System zu finden sind. Dazu werden Instant Messages verschickt, die Links zu einer oder mehreren Websites enthalten. Sobald der Empfänger auf den Link klickt, beginnt der Download einer Wurmkopie auf sein System. Fatso.a verbreitet sich zudem auch über Emule, einer Peer-to-Peer-Applikation für den Dateiaustausch.

Die Ähnlichkeiten zwischen den Würmern könnten darauf beruhen, dass in beiden Fällen MSN Verbreitungscode verwendet wurde, der aus Internet-Foren der Malware-Szene stammt.

Fatso.a hinterlässt darüber hinaus verschiedene Dateien auf den befallenen Systemen. Zu den verwendeten Dateinamen gehören „Fat Elvis! Lol.pif“, „Jennifer Lopez.scr“, „How a Blonde Eats a Banana.pif“ und „Topless in Miniskirt!lol.pif“.

Bei einer der abgelegten Dateien handelt es sich um einen Text mit einer persönlichen Botschaft an „Larissa“, den Programmierer bzw. die Programmiererin des Mitte Februar entdeckten WORM_ASSIRAL.A. Der Malicious Code wurde konzipiert, um Varianten des BROPIA-Wurms zu deaktivieren, die sich seit Anfang diesen Jahres über MSN Messenger verbreiten. WORM_ASSIRAL.A verbreitete sich als Email-Dateianhang und zeigte auf infizierten System folgenden Text an: „Larissa – Anti-Bropia – Freeing the world of Bropia“.

Darauf antwortet der Programmierer des FATSO-Wurms jetzt mit der Nachricht: „Hey LARISSA f**k off, you f**king n00b!.. Bla bla to your f**king Saving the world from Bropia, the world n33ds saving from you! ‚-S-K-Y-‚-D-E-V-I-L-‚“

„Diese Virenprogrammierer sind wie Jugendliche in Straßenbanden, die ihr Territorium markieren und rivalisierende Gruppen beschimpfen – nur dass hierfür eben Malicious Codes verwendet werden und keine Graffitis“, kommentiert Jamz Yaneza, Senior Virus Researcher bei Trend Micro. „Die wirklichen Verlierer in diesem Spiel sind die Endanwender, die vielleicht gar nicht bemerken, dass Systeme infiziert oder Hintertüren zum Netzwerk geöffnet werden.“

Die mit Kelvir.b infizierte Datei hat eine Größe von 46 KByte. Fatso.a hat eine Dateigröße von 17 KByte und ist unter Umständen im MEW-Format komprimiert. Beide Malicious Codes gefährden Systeme mit Windows 95, 98, ME, NT, 2000 und XP.