Ein Wurm, der sich per Mail und über P2P-Netze verbreitet, installiert eine Erweiterung in Firefox und Google Chrome, die Suchanfragen abfängt und umleitet.
Schädlinge, die sich als BHO (Browser Helper Object) im Internet einnisten, sind schon seit Jahren bekannt. Solche, die ein Add-on in Firefox oder Chrome installieren, haben eher noch Seltenheitswert. Der Wurm Spybot.AKB ist ein Beispiel für einen derartigen Schädling. Er verbreitet sich per Mail und über P2P-Netze.
Luis Corrons berichtet im Blog des spanischen Antivirusherstellers Panda Security über den Wurm, der Mails mit einen vorgeblichen Twitter-Einladung verschickt. Mails mit einem Betreff wie "Your friend invited you to Twitter!" enthalten einen Anhang namens "Invitation Card.zip". Darin steckt eine EXE-Datei, die auf den ersten Blick als JPG-Bild erscheint. Nach dem ersten Namensteil "document.jpg" folgen etliche Leerzeichen und erst dahinter die entscheidende Endung ".exe", die eine ausführbare Datei kennzeichnet.
Wird die Datei geöffnet und ausgeführt, installiert sie eine Browser-Erweiterung in Firefox und Google Chrome. Bei Firefox heißt sie "Firefox security 2.0" und leitet bestimmte Suchanfragen auf Websites um, die weitere Malware enthalten können. Die Liste der Suchbegriffe reicht von Airlines und Antivirus bis Wallpaper und Weather. Diese Websites sind inzwischen nicht mehr erreichbar. Bei Chrome gibt es sich als Google Buzz aus, Googles neuer Twitter-Konkurrent.
Die Verbreitung über P2P-Netze erfolgt, indem sich W32/Spybot.AKB.worm unter diversen Dateinamen in die jeweiligen Download-Verzeichnisse von P2P-Programmen wie eMule, LimeWire, Morpheus oder Kazaa kopiert. Die Dateinamen sollen den Wurm als harmlose Software tarnen, sie lauten zum Beispiel "Adobe Photoshop CS4 crack.exe", "GoogleUpdates.exe" oder "Windows 7 Ultimate keygen.exe", um Benutzer zum Download zu bewegen.
Der Schädling deaktiviert die Benutzerkontensteuerung (UAC) von Windows 7 und Vista und das Ereignisprotokoll. Er trägt sich in der Registry zum automatischen Laden bei jedem Windows-Start ein und in der Firewall-Konfiguration als freigegebenes Programm. Bei Sophos ist der Schädling als W32/Zuggie-A bekannt.
16.02.2010, 16:14 Uhr