I-Wurm Duload: ein weiterer Schlag für das KaZaA-Netzwerk


I-Wurm Duload: ein weiterer Schlag für das KaZaA-Netzwerk


Kaspersky Labs informiert über den neu entdeckten Internet-Wurm "Duload", der sich über Computer mit Zugang zum Filesharing-Netzwerks KaZaA verbreitet. Zur Zeit sind dem Unternehmen bereits einige Fälle von Infektionen durch den Wurm in Italien bekannt.

Der Wurm ist einer Windows PE EXE-Datei angehängt, die in Visual Basic geschrieben ist. Bis jetzt sind zwei Modifikationen des Wurms bekannt, die eine unterschiedliche Länge aufweisen:

  • Worm.P2P.Duload.a - 18432 Byte
  • Worm.P2P.Duload.b - 7680 Byte (komprimiert mit Hilfe der UPX-Utility)

    Wenn der User aus Mangel an Vorsicht die infizierte Datei auf seinem Computer gestartet hat, dann kopiert sich "Duload" selbst unter dem Namen "SystemConfig.exe" in das Windows-Systemverzeichnis hinein und stellt die Datei durch Modifizierung des Windows-Systemregisters so ein, dass sie automatisch geladen wird.
    Danach erstellt der Wurm im Windows-Systemverzeichnis ein Verzeichnis unter dem Namen "Media" und kopiert sich selbst unter 39 verschiedenen Namen in dieses Verzeichnis. Z.B.:

    Pamela Anderson And Tommy Lee Home Video.exe
    Alicia Silverstone Payboy Nude.exe
    Kama Sutra Tetris.exe
    Soldier Of Fortune 2 Mutiplayer Serial Hack.exe
    The Sims Game Crack.exe
    Warcraft 3 Battle.net Crack.exe

    Danach modifiziert "Duload" das Windows-Systemregister so, dass dieses Verzeichnis allen anderen Usern, die an das KaZaA-Netzwerk angeschlossen sind, zugänglich ist.

    Eine der Wurm-Modifikationen (Worm.P2P.Duload.a) lädt außerdem von einer Web-Site mehrere Trojaner für eine unautorisierte entfernte Kontrolle herunter und installiert diese auf dem Computer des "Opfers".

    Verfahren zum Schutz vor "Duload" sind bereits der Antiviren-Datenbank von Kaspersky Labs hinzugefügt worden.

    Detailliertere Informationen über diese Malware erhalten Sie im Kaspersky Viren-Lexikon.

    22.08.2002
    		•