Ein neuer Internet-Wurm 'Myparty' tarnt sich als ein Link auf eine Web-Seite

Kaspersky Lab, eine internationale Software-Schmiede im Bereich Datensicherheit, berichtet über einem neuen Internet-Wurm 'Myparty', der sich via eMail verbreitet. Zur Zeit wurden bereits einige Fälle der Infizierung durch diesen Schädling.

Der Wurm wird an den Opfer-Computer als eine angehängte Datei in einer eMail zugestellt. Die Datei ist eine Windows-Anwendung ca. 30 Kb groß, auf Microsoft Visual C++ geschrieben und mit UPX-Utility komprimiert.

Die verseuchten Dateien sehen folgenderweise aus:

Die Träger-Datei ist also unter einer Web-Seitenadresse 'verborgen'. Der Autor rechnete darauf dass der User sicher sein muss, bei einem zweimaligen Klicken auf dem Anhang in eine Internet-Adresse zu geraten. Aber in Wirklichkeit aktiviert sich dabei ein schädliches Programm.

"Dies ist wirklich ein neuer Verfahren, den User zu manipulieren, dank dessen 'Myparty' eine Reihe von Infizierungen hervorgerufen hat. In allem Anderen ist das ein gewöhnlicher Internet-Wurm, der sich von Hunderten von anderen seinesgleichen Schädlingen auf keine Weise unterscheidet,' erläutert Denis Zenkin, Pressesprecher Kaspersky Lab, 'Dieser Fall bestätigt nochmals, dass nicht alles eine Web-Seite ist, was mit 'www' beginnt und mit 'com' endet".

Wenn das Computer-Systemdatum im Zeitraum ab 25 bis an den 29. Januar 2002 ist, startet 'Myparty' seine Installation und Verbreitung. Außerdem prüft der Wurm, ob der Computer auch russische Sprache unterstützt. Falls es der Fall ist, beendet er sein Funktionieren und entfernt sich aus dem System.

Um seinen Aufenthalt im Speicher bei jedem Neuladen des infizierten Computers zu gewährleisten, schafft der Wurm seine Kopien in verschiedenen Verzeichnissen des Laufwerks und registriert sie im Autostart-Bereich der System-Register Programme.

Um die Kopien via eMail zu verschicken, scannt 'Myparty' die Windows-Adressbuch-Datenbanken (WAB-Dateien) und DBX-Dateien (sie werden auch von Outlook Express ausgenutzt). Dann liest er alle gefundenen Adressen ab. Danach schließt sich der Wurm direkt an den rechnerentfernten SMTP-Server an und versendet unsichtbar seine Kopien an die gefundenen Adressen, als wenn es der Benutzer selbst wäre. Zusätzlich wird eine leere eMail an die Adresse 'napster@gala.net' versandt. Das soll die Infektion bestätigen.

'Myparty' enthält eine gefährliche Nebenwirkung. An den Computern unter Windows NT/2000/XP installiert der Wurm ein spionierendes Programm, damit der Computer entfernt gesteuert werden kann. Also kann der Übeltäter eine volle Kontrolle des Opfer-Computers erhalten.

Dazu noch, je nach einer Reihe von Bedingungen öffnet 'Myparty' die Web-Seite http://www.disney.com im laufenden Internet-Browser Fenster.

Die Schutzmassnahmen gegen 'Myparty' wurden bereits der Datenbank des Kaspersky Anti-Virus hinzugefügt.

Eine nähere Beschreibung dieses Internet-Wurms finden Sie im Kaspersky Viren-Lexikon.