Wurm 'CoolNow' bedient sich zur Verbreitung der MSN-Plattform

Kaspersky Lab, eine internationale Software-Schmiede im Bereich Datensicherheit, warnt vor dem neu entdeckten 'CoolNow', der sich während dem Besuch bestimmter Web Sites auf Computern einnisten kann. Primäres Gateway für den Schädling stellt allerdings der populäre Internet-Messenger 'MSN' dar, über den sich der Wurm rasant verbreitet. Kurz nach dem ersten Auftreten des Schädlings wurde schon über eine große Vielzahl von Infektionen berichtet - Tendenz steigend.

Infizierung auf 'harmlosen' Web Sites

CoolNow wird von seinen kriminellen Programmierern auf unterschiedlichsten Internet-Seiten platziert. Der Besucher wird durch keinerlei typische Symptome auf eine Infizierung aufmerksam. Getarnt als harmlose Werbeaktion, bei der möglichst viele Teilnehmer animiert werden sollen, startet CoolNow ein Java Skript und infiziert die Computer dann mittels der bekannten Sicherheitslücke im Internet Explorer 'Frame Domain', ohne dass der Benutzer dies bemerkt. Somit verschafft sich 'CoolNow' auch den Zugriff auf das MSN Messenger-Adressbuch und versendet im nächsten Schritt über diese Adress-Ressourcen die Aufforderung an die Empfänger, die infizierten Webadressen zu besuchen.

Unterschiedliche Versionen machen die Suche schwierig

Bis jetzt wurden bereits sieben Varianten von 'CoolNow' entdeckt, die jeweils verschiedene Web-Seiten als Nistplatz nutzen. Schon jetzt wird mit Hochdruck an entsprechenden Gegenmaßnahmen gearbeitet, um die Verbreitung einzudämmen und zu verhindern. Jedoch ist nicht ausgeschlossen, dass neue Versionen dieses Schädlings in Zukunft auftauchen, die sich auf weiteren Web Sites finden. Um die Infektionsmöglichkeit zu relativieren, empfiehlt Kaspersky Lab eine sofortige Aktualisierung der Anti-Viren-Software und den entsprechenden Patch für den Internet Explorer zu installieren. Schutzmaßnahmen in Form von Updates der Kaspersky-Produkte gegen 'CoolNow' wurden bereits dem Kaspersky Anti-Virus hinzugefügt. Eine nähere Beschreibung dieses Wurms findet man im Kaspersky Viren-Lexikon.

Der Patch für Internet Explorer findet sich unter http://www.microsoft.com/windows/ie/downloads/critical/q316059/default.asp.

Die Beschreibung der 'Frame Domain'-Lücke ist unter http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-005.asp einzusehen.