Skype-Wurm verbreitet sich über fingierte Profilfotos


Seit vorgestern kursiert unter Skype-Nutzern ein Wurm, der sich offensichtlich rasend schnell verbreitet. Skype-Nutzer bekommen eine Nachricht die zum Beispiel lautet

moin, kaum zu glauben was für schöne fotos von dir auf deinem profil
h**p://goo.gl/abcdef?profile=<skype-benutzername>


Oder

hallo, sag mal ehrlich sind das deine fotos?
h**p://goo.gl/abcdef?profile=<skype-benutzername>

Oder auch:

lol is this your new profile pic?
h**p://goo.gl/abcdef?profile=<skype-benutzername>

Vor allem der Benutzername am Ende des Links erweckt den Eindruck, dass da tatsächlich Fotos zu finden sind, die zu einem gehören.

Der abgekürzte Link zeigte in meinem Fall auf den Filehoster Hotfile. Hier war die Datei bereits “aus urheberrechtlichen Gründen” gelöscht worden — besser so. Den hierbei handelt es sich um den Wurm, in einer Zip-Datei verpackt, der die eigentliche Infektion erst weiterträgt. Öffnet man die enthaltene Exe-Datei (mit Facebook-Logo als Symbol!), kopiert sie sich zunächst selbst an einen neuen Speicherort und schreibt einen Registrierungseintrag. Das System ist nun infiziert.

Delikat daran: Bei jedem Neustart des Betriebssystems holt sich der Wurm sein Update ab, das wieder eine andere Signatur hat. Damit ist er für Antivirenprogramme extrem schwer zu erkennen. Außerdem werden beim Update die bisherigen Registrierungseinträge [des Wurms] gelöscht und neue geschrieben. Die Spurensuche wird so ebenfalls erschwert.

Zur Behebung kann die Datei, wenn sie zuvor etwa per Task-Manager oder Process Explorer aufgespürt wurde, gelöscht werden. Da sie aber versteckt ist, greift man hierzu am besten offline, also ohne aktives Benutzerprofil, in Windows ein. Das geht beispielsweise per Reparaturkonsole mit Eingabeaufforderung oder auch mit einem Live-Betriebssystem. Anschließend können Sie, wieder angemeldet, die Registrierungsdatenbank nach dem Namen der Datei durchsuchen und den Verweis darauf manuell löschen.


Sicherheitsexperten wollen Conficker mit seinen eigenen Waffen schlagen

Sicherheitsexperten von Symantec haben das kostenlose Programm “Nmap” verbessert, das die von mit dem Conficker-Wurm infizierten Computer ausgehenden Daten abhören kann, indem man dasselbe P2P-Protokoll nutzt, das Conficker derzeit verwendet, um mit seinen Programmierern zu kommunizieren und neue Anweisungen zu bekommen.

Das Team um Ron Bowes, das Nmap entwickelt, möchte mit dem erneuerten Tool Computer, die mit Conficker.C und neueren Varianten infiziert sind, aufspüren.

Seit seinem Erscheinen im November 2008 hat Conficker zahlreiche Updates von seinen Programmierern erhalten. Bis heute sind vermutlich mehrere millionen PCs mit dem Wurm infiziert und ihnen allen droht, dass der Wurm durch weitere Befehle, die er sich regelmäßig holt, noch weiteren Schaden anrichtet oder die Daten ausspäht.


Conficker.C ließ die für den ersten April befürchteten Updates und Vorhaben platzen – stattdessen begannen infizierte PCs einige Tage nach diesem Datum, ein Update zu laden, das die Kommunikationsmethoden des Wurms komplett veränderte. Aus Conficker.C wurde Conficker.E und der Wurm enthielt den Spambot Waledac sowie eine sogenannte Scareware, die dem Benutzer Falschmeldungen über eine Infektion des PCs anzeigt und zum Kauf einer 50 Dollar teuren aber wirkungslosen Software bewegen soll.

Das Tool Nmap 4.85 Beta 8, das gestern veröffentlicht wurde, enthält ein Skript, das Conficker anhand der von ihm belegten P2P-Ports identifizieren soll. Die meisten Experten sind sich einig, dass diese Verbindungen als Ersatz für die HTTP-Verbindungen über Port 80 eingerichtet wurden, die Conficker verwendet, um Updates zu laden. Die Methode mit den Ersatzverbindungen ist erst seit der C-Variante bekannt.

Das mitgelieferte Skript versucht im wahrsten Sinne des Wortes, sich mit dem Wurm zu unterhalten. Dann wolle man die Antworten, die die infizierten PCs senden, analysieren und wenn möglich, nutzen, um ihnen eigene Befehle zu senden.

Um Informationen über den Datenaustausch zwischen infizierten PCs und den Conficker-Entwicklern zu bekommen, legte man eigens ein Honigtopf-Netzwerk an und analysierte die ausgehenden Informationen – was die Programmierer des Wurms mit ihren Bots kommunizierten sei “clever”, aber nicht bewegend, so Alfred Huger von Symantec.

Bowes und Huger warnen davor, sich voreilig auf Nmap zu verlassen, obwohl das Tool Conficker.C schon recht zuverlässig aufspüren kann. Das Abhören von Verbindungen sei eine unvollkommene Wissenschaft, sobald man etwas gefunden habe, das Conficker sein könnte, müsse man von Hand eingreifen, um den Fund identifizieren zu können. Dann müsse man mit den vielen Anti-Conficker-Tools anrücken, die inzwischen viele Hersteller kostenlos anbieten.

Bowes warnt davor, sich hundertprozentig auf Nmap zu verlassen. Firewalls und Portfilter können die Suche nach Conficker erschweren oder komplett verhindern und PCs, bei denen alle Ports geschlossen sind, können gar nicht untersucht werden. Für einige dieser Probleme gibt es bereits Workarounds.

Damit man Nmap auch auch infizierte Computer aus herunterladen kann, bietet das Team den Download auf mehreren Spiegelservern (Mirrors) an. Conficker blockiert den Zugriff auf bekannte Websites, die Anti-Conficker-Tools bereitstellen, darunter ist inzwischen auf die Website nmap.org.

Es ist nicht das erste Mal, dass man den eigenen Conde von Conficker gegen den Wurm selbst einsetzt. Im März entdeckten es drei Experten (darunter Dan Kaminsky) eine zuverlässige Methode, um den Wurm aufzuspüren.