Sicherheitsspezialisten haben neue Malware entdeckt, die vorgibt, von Microsoft zu stammen und in der Lage sein soll, unlizenzierte Windows-Versionen zu entdecken.
"Diese Malware gehört zur Klasse der Würmer und sie verbreitet sich durch das AOL LLC's Instant Messenger-Programm, sagte Graham Cluley, leitender Techniker bei Sophos. Der Antivirenhersteller hat den Wurm auf den Namen "W32.Cuebot-K" getauft. Er gehört also der "Cuebot"-Gattung von Schadsoftware.
Der Wurm greift das befallene System auf vielfältige Weise an: Nachdem er sich dort selbst installiert hat, stellt er Verbindungen zu diversen Websites her, von denen er weiteren Schadcode herunter lädt. Cuebot-K die Funktionsfähigkeit von anderer Software beeinträchtigen, er fährt etwa die Windows-Firewall herunter, startet DDOS-Attacken (Distributed Denial Of Service). Ferner scant diese Schadsoftware die lokalen Dateien nach "interessanten" Informationen und sendet diese weiter.
Würmer, die sich via Instant Messaging verbreitern, tauchen oft als Botschaften von Freunden auf. Der Empfänger wird darin aufgefordert, eine bestimmte Website zu besuchen und/oder ein ausführbares Programm zu starten. Cuebot-K vermehrt sich, indem er eine Datei namens "wgavn.exe" mitbringt, und diese an alle Teilnehmer in der "Buddy List" des AOL-Benutzers kommentarlos sendet.
Sobald Cuebot-K am System installiert ist, registriert er sich dort als ein Treiber mit dem Namen "wgavn." Sobald die Liste der aktiven Services am Rechner aufgerufen wird, erscheint dort der Wurm "Windows Genuine Advantage Validation Notification". Sein Registry-Eintrag lautet: HKLM\SYSTEM\CurrentControlSet\Services\wgavn\.
Und Cuebot-K setzt noch einen Trick drauf: Er agiert als Windows Genuine Advantage-Anwendung (WGA), die von Branchenkennern als Microsoft eigene Spionage-Software betrachtet wird. WGA sammelt Informationen über Hard- und Software am PC des Anwenders und vergleicht diese mit den vorhandenen Lizenzinformationen. Auf diese Weise lässt sich unberechtigt installierte Software detektieren. (rw)