Fehler
  • JUser: :_load: Fehler beim Laden des Benutzers mit der ID: 62

Computerwürmer

Computerwürmer

Neue Stuxnet-Variante gesichtet: Duqu späht Ziele aus

Fotolia 34684194 XSEine neue Variante des Stuxnet-Wurms wurde gesichtet und beunruhigt Experten für Computer- und Alangensicherheit gleichermaßen. Zwar handelt es sich bei der neuen Variante nicht um einen Wurm sondern vielmehr um einen Trojaner, der sich nach einer bestimmten Zeitspanne selbst löscht, um nicht erkannt zu werden.

Weiterlesen: Neue Stuxnet-Variante gesichtet: Duqu späht Ziele aus

Twitter hat erneut ein Malware-Problem

Am Dienstag, 07.12.2010 war Twitter abermals Ziel einer Malware-Attacke. Ein Wurm auf den Computern etlicher Twitter-User begann offenbar damit, massenweise Tweets mit einer durch den Google-Url-shortener-Dienst Goo.gl verschleierten URL zu versenden. Diese getarnte URL führte zu einer gehackten französichen Seite, die ihrerseits mit Malware infiziert war.

Weiterlesen: Twitter hat erneut ein Malware-Problem

Computervirus im Krankenhaus

Im Westfriesgasthuis einer Klinik im niederländischen Hoorn mussten sich die Mitarbeiter am Mittwoch mit einem Computervirus auseinandersetzen, der zeitweise den Betrieb so weit störte, dass Operationen, die auf diesen Tag angesetzt waren bis auf Notoperationen aus Sicherheitsgründen ausgesetzt werden mussten. Aufgefallen sei der Virus bereits am Dienstag, als etliche Benutzerkonten vom Server auf einmal gesperrt wurden und die Benutzer sich nicht mehr in ihre Accounts einloggen konnten. Bei dem Computervirus handelte es sich nach Angaben der Verantwortlichen um eine Mutation eines bereits bekannten Schädlings, dessen Namen sie allerdings nicht verraten wollten. Der Computervirus -oder besser: Computerwurm- versuchte Nutzerdaten der Mitarbeiter zu stehlen, indem er mit selbst generierten Passwörtern versuchte sich in deren Accounts einzuloggen. Sicherheitseinstellung am Server sorgten allerdings dafür, dass nach der Eingabe einer bestimmten Anzahl falscher Passwörter beim Login das entsprechende Konto gesperrt wurde. Die Vorgehensweise erinnert etwas an die des bekannten Wurms Conficker, der bereits mehrere Netzwerke, darunter auch die einiger Kliniken in Österreich 2009 lahm gelegt hatte.

Computerwürmer zu Halloween

Pünktlich zu Halloween lassen Cyberkriminelle einen Klassiker der Computerwurm-Geschichte wieder aufleben. Der laut Bitdefender derzeit aktuellste Computerwurm nutzt eine uralte Masche, um sich im Netz zu verbreiten. Der Win32.Worm.Prolaco genannte Computerwurm verschickt sich selbst, wenn er einmal aktiviert ist, per E-Mail als Grußkarte. Der vermeintliche Grußkarten-Anhang ist eine .exe-Datei mit doppelter Endung und genau das ist unter Windows in der Grundeinstellung extrem problematisch. Betreibt man Windows mit Standardeinstellungen, werden die Dateisuffixe vom Betriebssystem ausgeblendet, wenn es sich um bekannte Typen handelt. Aus tolle-grusskarte.exe würde mit diesen Einstellungen also nur noch "tolle-grusskarte" und aus grusskarte.zip.exe würde "grusskarte.zip" und so jubelt Windows dem oft ahnungslosen Nutzer eine ausführbare Datei unter. Die Grußkarte per Mail ist aber nicht die einzige Methode, auf die er sich verbreiten kann. So nistet sich Win32.Worm.Prolaco auch auf USB-Speichern ein und er fühlt sich auch in P2P Netzwerken wohl. Auf USB-Laufwerken erstellt er eine autorun.inf-Datei in der er sich zum Start beim Mounten des Laufwerks einträgt. Ein typischer Name der zu startenden .exe, die den Wurm beherbergt ist redmond.exe, aber das kann sich jederzeit ändern.

Die Schadfunktionen von Win32.Worm.Prolaco

Hat der Computerwurm einmal einen gastlichen Wirt gefunden, kopiert er sich an verschiedene Stellen des PCs: Eine versteckte Kopie legt er unter den Namen wmimngr.exe, jusched.exe oder wfmngr.exe im Systemverzeichnis von windows ab. Weitere Kopien werden als Cracks oder Keygeneratoren getarnt in den Freigabeordnern von Filesharing-Programmen abgelegt -so welche installiert sind. Darüber hinaus macht Win32.Worm.Prolaco einige Einträge in der Registry, um sicher zu stellen, dass er beim nächsten Windowsstart auch mit geladen wird. Über die Registry schaltet er sich auch in der Windows Firewall frei, ändert die Sicherheitseinstellungen von Windows, sodass keine Warnungen mehr ausgegeben werden, wenn Software sich selbst installiert und bei Vista und Windows 7 schaltet er darüber hinaus auch noch die Benutzerkontensteuerung (UAC) aus.

Wurde die Windows-Sicherheit erste einmal außer Gefecht gesetzt, manipuliert der Computerwurm den Programmcode des Internet Explorers und zeichnet Tastatureingaben auf, die in der Datei lsm.dll im Windows-Verzeichnis abgelegt werden.

Das ist aber leider noch nicht alles: Der Computerwurm kann Kontakt zu seinem Command-and-Control-Server aufnehmen und von dort aus weitere Instruktionen erhalten. Angesichts der Tatsache, dass Prolaco äußerst vielseitig ist, ist es ihm möglich, Registy-Einträge zu modifizieren, Prozesse zu starten und zu stoppen, Software herunter zu laden, auszuführen und zu steuern, Ports zu scannen, Antivirensoftware zu deaktivieren, alle Daten zu löschen und noch vieles mehr. Kurz: Dieser Wurm ist sehr gefährlich und der gewissenhafte Nutzer tut gut daran, die E-Mail-Anhänge, die er bekommt vor dem Ausführen besonders gut zu überprüfen. Auch wenn sie von einem Freund oder von einem Bekannten kommen, heißt das nicht, dass der Anhang ungefährlich ist, schließlich können sich auch Freunde und Bekannte mal Malware einfangen. Sollten Sie es noch nicht getan haben, sollten Sie Windows auch das Ausblenden bekannter Dateiendungen abgewöhnen. So erkennen Sie Anhänge mit doppelten Endungen oder .exe-Dateien so besser und schneller.