Thema: Würmer mit Passwortschutz

[SiLæncer]

Einige neue Würmer und Wurmvarianten verbreiten sich in Passwort-geschützten Archivdateien. Damit sollen sie unerkannt an Virenscannern vorbei kommen und den Empfängern mehr Vertrauen einflößen.

Würmer und andere Malware in Passwort-geschützten Archiven (etwa ZIP, RAR) zu versenden ist keine ganz neue Taktik. Sie feiert allerdings derzeit fröhliche Urständ, wie der Antivirus-Hersteller Trend Micro meldet. Passwort-geschützte Archive können von Virenscannern nicht geöffnet werden und somit sollte der Schädling unerkannt passieren können. Außerdem könnte es das Vertrauen des Empfängers in die Seriosität einer Mail erhöhen, wenn der vorgebliche Versender scheinbar extra für ihn ein persönliches Passwort eingerichtet hat. Eventuell kitzelt das auch nur seine Neugier - der Zweck würde jedenfalls erreicht.

Eine neue Bagle-Version ist ebenso unter den derart verbreiteten Schädlingen wie ein neuer Wurm namens "WORM_RANCHNEG.A", berichten die Virenforscher von Trend Micro in ihrem Blog . Während sich Bagle in der Mail auf eine kurze Liebesbotschaft ("I love you, Password is .....") beschränkt, hat sich der Programmierer des Ranchneg-Wurms mehr Mühe gegeben. Die Mails behaupten zum Beispiel, der Empfänger habe Nacktfotos verschickt und würde nun angezeigt. Das Deutsch in den Mails ist allerdings ausnehmend schlecht und dürfte somit wenig Vertrauen erwecken.

Der Wurm Ranchneg.A verschickt sich nicht nur wieder selbst per Mail, er enthält auch Backdoor-Funktionen. Er legt eine Programmbibliothek namens "mszsrn32.dll" im System-Verzeichnis von Windows ab und injiziert diese in den laufenden Prozess des Anmeldedienstes (winlogon.exe). Er spioniert Daten aus, meldet diese an einen Interent-Server und kann auf Befehl von außen weitere schädliche Aktionen auf dem PC ausführen. Beim Versenden der Mail benutzt er installierte Archivierungsprogramme wie 7-zip, WinRAR oder WinAce, um den Mail-Anhang zu verpacken.

Quelle : www.pcwelt.de

[Jürgen]

Nicht wirklich neu ist, dass man nicht 'nur irgendeinen Viren-Scanner' braucht, natürlich stets aktuell gehalten, sondern eben wirklich ein komplettes Antiviren-Programm mit einem guten Hintergrund-Wächter, Heuristik eingeschlossen.
Auch sowas schützt natürlich nie 100%ig, aber jedenfalls besser, als Werkzeuge, die erst einzugreifen vermögen, wenn die Infektion schon erfolgt oder der Schädling zumindest startklar ist.

Und ganz selbstverständlich sollte auch bei der Auswahl (je)des (Default-)Entpackers darauf geachtet werden, dass er das Zwischenschalten des verwendeten Antivirenprogramms aktiv unterstützt.

Dabei geht's nicht automatisch um die jeweilige 'Standardanwendung' zum Auspacken, denn gerade deren Sicherheitslücken wissen Schädlinge oft gut zu nutzen.


Nun denn, Denken kann natürlich auch nicht schaden.
Wer ein passwortgeschütztes Archiv ungefragt versendet, und dann das Passwort in ebendieser Mail 'natürlich' in Klartext mitliefern muss, der kann doch im Grunde nichts Gutes im Schilde führen.
Wenn's Passwort gleich dabei ist, 'schützt' dieses Teil überhaupt nicht vor Mitlesern, aber eben und ausschliesslich vor einer automatischen Schädlingskontrolle.

Wer also sowas trotzdem öffnet, hat's im Prinzip nicht anders verdient...
Das wirklich Schlimme dabei ist nur, dass seine Kontakte dann als nächste angegriffen werden können, und die vertrauen dem Trottel als (scheinbarem) Absender möglicherweise...

So gesehen ist Nicht-Denken nicht nur dämlich, sondern auch asozial.