Automatische Infektion über Autostart-Medien
Instant-Messaging-Spam als Wurmschleuder
Der Wurm »Palevo« hat Zuwachs. Anwender fangen ihn sich über Spam per Instant-Messaging ein. Palevo integriert den Rechner nicht nur in ein Botnet. Er fängt auch Passwörter ab, die Nutzer in Firefox oder Internet-Explorer eingeben.
Ganz massiv setzt ein neues Mitglied der Wurm-Familie »Palevo« Instant-Messaging ein, um darüber Spam zu versenden. Davor warnt aktuell Bitdefender. Die automatisch erzeugten Nachrichten laden den Nutzer ein, ein Foto aufzurufen oder zu einer Bildergalerie zu gehen. Dabei ist der Wurm doppelt unangenehm, den sich die Anwender über den Download einfangen. »Palevo.DP« enthält einmal eine Backdoor-Funktion. Über diese bekommen die Kriminellen die Kontrolle über den Rechner. Zum anderen fängt er Passwörter und andere sensible Daten ab, die Nutzer im Firefox oder Internet-Explorer eingeben.
»Wir empfehlen den Anwendern extrem vorsichtig zu sein. Sie sollen auf keine verdächtigen Links klicken, die sie über Instant-Messaging-Clients bekommen. Stattdessen sollten sie den Absender kontaktieren, ob es mit der Website ihre Richtigkeit hat, auf die der Link zeigt«, empfiehlt Catalin Cosoi, Senior-Researcher bei Bitdefender.
Der Wurm erzeugt im Windows-Ordner ein paar verborgene Dateien: mds.sys, mdt.sys, winbrd.jpg und infocard.exe. Anschließend modifiziert die Malware Registry-Einträge, die auf die Dateien zeigen. Dies soll eine Personal-Firewall austricksen.
Der Wurm greift auch Peer-to-Peer-Plattformen wie Ares, BearShare, iMesh, Kazaa, DC++, eMule oder LimeWare an. Dabei ergänzt die Malware die freigegebenen Dateien um eigenen Code.
Palevo.DP nutzt aber auch Netzwerk-Laufwerke und portable USB-Speichermedien, um sich zu verbreiten. Dazu erstellt es dort eine »autorun.inf«-Datei, die auf eine Kopie des Wurms verweist. Ist Autorun aktiviert, dann infiziert die Malware das System automatisch.
Lesen Sie mehr zum Thema
