Der erste Wurm, der sich über das Mailprogramm 'The Bat!' verbreitet

Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit, warnt PC-Anwender vor dem neuen Internet-Wurm 'Stator', der sich über das eMail-Programm The Bat! verbreitet. Kaspersky Labs liegen bereits mehrere Meldungen über das Auftreten des Virus 'in the wild' vor.

Dieses eMail-Programm erfreut sich steigender Beliebtheit, vor allem in Mittel- und Osteuropa. Bis vor kurzem zeichnete sich dieses eMail-Programm dadurch aus, dass es bisher keine Malware gab, die 'The Bat' infizieren konnte. 'Stator' stellt einen weiteren Angriff der Computer-Avantgarde auf den PC dar. Das bestätigt eine bekannte Regel: "Je populärer die Anwendung ist, desto gezielter wird sie von Virenschreibern attackiert," so Denis Zenkin, Leiter der Pressestelle bei Kaspersky Labs.

Ein Update zum Schutz vor diesem Wurm wurde der Antiviren-Datenbank von Kaspersky Anti-Virus bereits hinzugefügt. Kaspersky Labs empfiehlt allen PC-Benutzern, die The Bat! verwenden, ihre Antiviren-Datenbank entsprechend zu aktualisieren.

Kaspersky Anti-Virus ist über den Kaspersky Labs Online Store oder über ein weltweites Netz von Kaspersky Anti-Virus Distributoren und Wiederverkäufern zu beziehen. Eine Liste der Händler findet sich unter http://www.kaspersky.com/de/buyoffline.

Die kostenlose Trial-Version von Kaspersky Anti-Virus kann unter http://www.kaspersky.com/de/downloads heruntergeladen werden.

Der kostenlose Newsletter von Kaspersky Labs kann unter http://www.kaspersky.com/de/subscribeNow abonniert werden.

Technische Informationen

Der Internet-Wurm verwendet für seine Verbreitung das eMail-System TheBat!. Es erlangt den Zugang zu der Datenbank des Systems, liest die vorhandenen Adressen aus und verschickt eMails mit angehängten Dateien an diese.

Der Name des Attachments ist "photo1.jpg.pif". Ist der Wurm einmal aktiv, wird das Bild eines unbekannten Mädchens angezeigt. Betreff und Text von verseuchten eMail-Nachrichten sehen wie folgt aus:

Subject: Privet!!!
Body: Weiter folgt ein Text in Russisch, in kyrillischer Schrift. Die Übersetzung liest sich wie folgt:

'Hallo!

Ich habe deine Adresse von einem gemeinsamen Freund von uns erhalten (eine beliebige Adresse). Ich benutze das Internet erst seit kurzem und habe mir eben eine Mailbox zugelegt. So schreibe ich nun meine erste eMail!!! Er hat gesagt, dass falls ich Fragen haben sollte, kann ich mich an dich wenden.... Ich bin ziemlich attraktiv und gesellig (sieh. das Bild ). Ich warte auf deine Antwort!!! Schreibe etwas von dir, und frag mich, was du von mir wissen willst. Tschüs! Tschüs!

:)))))))))

Sveta Kowaljowa'

1. Der Wurm verhält sich wie ein Companion-Virus und infiziert folgende Dateien im Windows-Verzeichnis:

MPLAYER.EXE, WINHLP32.EXE, NOTEPAD.EXE, CONTROL.EXE, SCANREGW.EXE

Bei Infektion wird die Endung der betroffenen Datei in *.vxd umbenannt, und die Datei selbst wird durch eine Kopie des Wurms ersetzt.

2. Der Wurm kopiert sich in das Systemverzeichnis von Windows unter den Namen SCANREGW_EXE und LOADPE.COM, sowie in das Hauptverzeichnis von Windows unter dem Namen IFNHLP.SYS.

Die Datei LOADPE.COM erzeugt anschließend einen Schlüssel zum automatischen Start in der System-Registry:

HKCR\exefile\shell\open\command = LOADPE.COM

Als Resultat wird die Kopie des Wurms jedes Mal aktiv, wenn *.exe-Dateien gestartet werden. Anschließend infiziert der Wurm die zu startende Datei, indem er die Datei in eine *.vxd-Datei wie oben beschrieben verwandelt.

3. Der Wurm kann vertrauliche Informationen wie beispielsweise Passwörter und Logins des befallenen Computers stehlen und sie an verschiedene Rechner versenden.

Die Mail mit den "gestohlenen" Informationen sieht wie folgt aus :

Von: Stat-generator v1.3 [%email_from%@mail.ru]
An: [%email_to%@pisem.net]
Betreff: PLICT`01. Stat from %IP_address%
Attachement: STAT.PGP

%IP_address% steht dabei für die IP-Adresse des infizierten Computers. %email_from% ist eine zufällig generierte Zeile mit der Größe von 7 Byte (z.B. "syekqwc", "kryfmta", "nubipwd").

%email_to% ist eine 7-Byte-Zeile, die je nach dem Monat und dem Tag erstellt wird (z.B. "pwdkryf", "rzhpxfn"). D.h., die Adresse, an welche die Informationen von dem Computer aus abgeschickt werden, wird von der Monatsnummer und dem aktuellen Tag abgeleitet.