Wurm "Swen" tarnt sich als Microsoft-Patch
Kaspersky rechnet kurz nach dem Auftauchen bereits mit "zehntausenden
Infektionen"
Kaspersky Labs warnt vor einem neuen Wurm namens "Swen", der sich als
Microsoft-Patch tarnt. Der digitale Übeltäter verbreitet sich laut den
Antivirenspezialisten per Mail, dem Peer-to-Peer-Netzwerk Kazaa und
IRC-Channels. "Infizierte Meldungen geben vor, von verschiedenen
Microsoft-Diensten wie MS Technical Assistance oder Microsoft Internet
Security Solution zu stammen", so die Warnung.
Im Text der werde dem Anwender empfohlen, den beigefügten "speziellen Patch"
von Microsoft zu installieren. Kaspersky Labs rechnet bislang mit
"zehntausenden Swen-Infektionen" weltweit bei steigender Anzahl. Die Lücke,
die Swen nützt, ist indes nicht neu: Es handelt sich um die im März 2001
entdeckte Schwachstelle des Internet Explorer, über die schon zahlreiche
andere bekannt gewordene Würmer wie Klez in PCs eingedrungen sind.
Einmal auf einem ungeschützten Rechner aktiviert, verbreite sich Swen von
selbst. Die neue Malware sei in Microsoft Visual C++ programmiert und 107
KByte groß. Der Wurm aktiviert sich nicht nur, wenn die infizierte Datei
ausgeführt wird, sondern auch, wenn das E-Mail-Programm die Schwachstelle
IFrame.FileDownload besitzt. Swen installiert sich dann selbständig in das
System und vervielfältigt sich.
Sobald er aktiv wird, erscheint ein Fenster auf dem Bildschirm, das sich
Microsoft Internet Update Pack nennt und die Installation eines Patches
vortäuscht. "Gleichzeitig blockiert der bösartige Code sämtliche Firewall-
und Anti-Virus-Software", so Kaspersky. Dann scanne Swen das Dateisystem
des infizierten Computers, extrahiere sämtliche E-Mail-Adressen und
verschicke sich selbst an alle verfügbaren Adressen über eine direkte
Verbindung zu einem SMTP-Server.