Ein neuer Wurm, der es auf AOL-Instant-Messenger-User abgesehen hat, attackiert
potenzielle Opfer auf besonders hinterhältige Art. Um ahnungslose Anwender zum
Anklicken des zerstörerischen Links zu bewegen, nimmt der mit dem Namen
IM.Myspace04.AIM betitelte Wurm aktiv am Chat teil. Laut amerikanischen
Sicherheitsexperten von IMlogic http://www.imlogic.com stellt diese Vorgehensweise eine
absolute Premiere dar. Sie gehen davon aus, dass der noch wenig verbreitete Wurm
nur zu Testzwecken ausgesandt wurde und warnen vor einer neuen großen Wurmwelle
im IM-Bereich.
IM.Myspace04.AIM meldet sich über Instant Messages mit Beiträgen wie "lol thats
cool" und verweist auf eine URL mit der den Wurm aktivierenden Datei
clarissa17.pif. Selbst bei Rückfragen misstrauischer Opfer ist der Wurm offenbar
um keine Antwort verlegen. Auf die Frage, ob das Attachment sicher kein Virus
sei, antwortete er IMlogic zufolge: "lol no its not its a virus". Einmal
geöffnet, deaktiviert die Datei die Sicherheitssoftware des Computers,
installiert eine Hintertür und bringt Systemdateien in Unordnung. Danach
verschickt sich der Wurm unsichtbar an alle User aus der Kontaktliste des
Opfers.
"Rudimentäre Mitteilungen von Würmern gekoppelt mit einem Link
zur schadhaften eigenen Software sind im Instant-Messaging-Bereich an sich
nichts Neues", meint Candid Wüest, Virenexperte von Symantec http://www.symantec.de im
Gespräch mit pressetext. Die Ausnützung der Chatfunktion, wie von IMlogic
beschrieben, stelle allerdings ein wirkliches Novum dar, so Wüest weiter. Durch
die ständige mediale Prominenz des Sicherheitsthemas seien Endbenutzer in ihrem
Internetgebrauch vorsichtiger geworden. Damit ein Link aus einer E-Mail oder
Instant-Message angeklickt werde, müsse die schadhafte Software mittlerweile
viel mehr Überzeugungsarbeit leisten als früher, erklärt Wüest die neue
Vorgehensweise der Programmierer.
In dieselbe Kerbe schlägt auch die
multilinguale Flexibilität, die einige Wurmvarianten wie der W32.Kelvir.HI an
den Tag legen . Um möglichst
echt zu wirken, passen sie ihre Sprache an die lokalen Anwendergegebenheiten an.
Der neu entdeckte Wurm, der laut Symantec möglicherweise eine Weiterentwicklung
des Kelvir-Wurmes darstellt, könnte sich eben diese Funktion zunutze machen, um
einen globalen größeren Angriff zu starten.