Cheburgen vereint bewährte Malware-Funktionen

Vor einem neuartigen Wurm namens Cheburgen.A warnt das Sicherheitsunternehmen Microworld. Auf den ersten Blick nutzt Cheburgen vorwiegend alte Verbreitungsmethoden. Erst deren Kombination und Häufigkeit machen ihn gefährlich.

"Mail delivery notification", "Mail transaction failed" und ähnliche Betreffzeilen weisen E-Mails auf, die von Cheburgen verschickt wurden. Angeblich sei es nicht gelungen, die in der Anlage enthaltene E-Mail zuzustellen, heißt es darin.

Die Anlage enthält freilich keine zuvor verschickte E-Mail, sondern den Wurm, der sich nach dem Öffnen über eine eigene SMTP-Engine an alle Adressen verschickt, die er im Windows-Adressbuch findet.

Das ist aber nur eine von mehreren Verbreitungsmethoden: Cheburgen schlüpft in Driveby-Downloads durch Browser-Sicherheitslücken, wird von Downloader-Trojanern an Bord geholt, kopiert sich selbst in freigegebene Netzwerk-Ordner und nutzt die (längst gepatchte) LSASS-Lücke in Windows.

Einmal aktiv, öffnet Cheburgen verschiedene Ports und nimmt via IRC Anweisungen von seinen Urhebern entgegen, was den möglichen Schaden maximiert.

Neben einem Virenschutzprogramm auf dem aktuellsten Stand ist das zeitnahe Installieren von Sicherheits-Updates und Patches angesichts solcher Schädlinge dringend angeraten.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben