Malware aus der Dorkbot – Familie ist derzeit in sozialen Netzwerken wie Facebook, beim Instant Messenger wie Skype und nun auch beim Multi – Protokoll – Messenger Digsby unterwegs. Es ist eine neue Variante des Wurms Dorkbot, die Multi-Protokoll-fähige Chat-Programme nutzt, um sich zu verbreiten.
Die neue Version nutzt nun auch Digsby und Quiet Internet Pager. Beide unterstützen mehrere IM-Protokolle wie AIM, ICQ oder Jabber. Damit können potenziell mehr Opfer erreicht werden, berichtet pcwelt.de. Wie der Antivirushersteller Trend Micro in seinem Blog meldet, wird dieser Wurm durch ein Trojanisches Pferd herunter geladen. Dabei handelt es sich um einen Hintertürschädling ("Backdoor") aus der Alureon-Familie, den Trend Micro als BKDR_LIFTOH.DLF bezeichnet. Diesen kann man sich beim Besuch infizierter Webseiten einfangen. Der Schädling lädt den Dorkbot – Wurm, der unter anderem Anmeldedaten stehlen kann, indem er sich in gängige Browser einklinkt. Der Schädling lädt aber noch einen weiteren Wurm, den Trend Micro WORM_KUVAA.A nennt. Dieser sucht nach Facebook-Cookies, um die Benutzeranmeldung bei Facebook zu umgehen. Er erkennt die gängigen Web-Browser und nutzt diese oder den Facebook-Messenger, um Spam-Nachrichten in 11 Sprachen zu posten, zum Beispiel: "kennst du das foto schon?" oder "i cant believe i still have this picture". Diese enthalten wiederum einen Download-Link für eine Wurm-Kopie, der auf Mediafire verweist.
