Internet-Wurm W32/Bropia.worm.p greift MSN an

19.02.2005 17:33 Uhr

AVERT (Antivirus and Vulnerability Emergency Response Team), das Virenforschungslabor von McAfee (NYSE: MFE), warnt vor einer neuen Wurm- Variante die sich durch den MSN Messenger verbreitet.

Der Schädling mit dem Namen W32/Bropia.worm.p (auch Bropia.worm.p) legt allerdings im Vergleich zu Vorgänger-Versionen keine neue Variante des W32/Sdbot.worm.gen ab. In den vergangenen Stunden gingen bei McAfee AVERT bisher mehr als 30 Meldungen über geblockte Versionen von Bropia.worm.p ein.

Charakteristika von Bropia.worm.:

Diese Variante des Bropia-Wurms ähnelt seinen Vorgängern und tritt über den MSN Messenger in Erscheinung. Um sich zu infizieren muss der Anwender den Dateianhang eigenständig aktivieren. Nach der Ausführung versucht sich ein Bild über eine Webseite aufzubauen: „http://www.[blocked].com/lol_f***_you_lol/l0l_53xy_l0l.jpg.“ Bei jedem Versuch eines Zugriffs auf diese Website wird ein Counter hochgezählt. Dennoch ist während der Wartezeit das Bild zu keiner Zeit verfügbar. E- Mail:juergen.rast@harvard.de arno.glompner@harvard.de Vorgehensweise von Bropia.worm.p: Nach der Ausführung des Anhangs legt der Internet-Wurm eine Kopie von sich im Hauptverzeichnis C:\ der Festplatte mit folgenden File-Namen ab:

  • c:\Beautiful A**.pif
  • c:\John Kerry as Super Chicken.scr
  • c:\Kool.pif
  • c:\Me & you pic!.pif
  • c:\Me P***ed!.pif
  • c:\sexy.pif
  • c:\She Could Fit her A** in a Teacup.pif
  • c:\she’s f***in fit.pif
  • c:\titanic2.jpg.pif

Eine Kopie des Wurms ist weiterhin in %SysDir% als “Isass.exe” zu finden, wobei %SysDir% entweder unter C:\Windows\System32 oder C:\WinNT\System32 zu finden ist. Folgende Registry-Einträge werden beim Start erstellt:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run „Isass“ = %SysDir% \Isass.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices „Isass“ = %SysDir% \Isass.exe
  • Der Wurm erstellt einen Marker auf dem infizierten Rechner mit folgender Bezeichnung: .:*-F*k-U-*:.

Folgende Prozesse werden auf dem infizierten Rechner deaktiviert, um dem Anwender ein eigenhändiges Aufhalten bzw. Enterfernen des Internet-Wurms unmöglich zu machen:

  • Regedit.exe – registry editor
  • Mstask.exe – task manager
  • Msconfig.exe – configuration manager