Sozialer Wurm

Soziale Netze wie facebook, MySpace, Orkut usw. zählen zu den beliebtesten Ressourcen des modernen Internets. Sie verkörpern genau das, was man als Web 2.0 bezeichnet.

Auch die Virenschreiber habe Ihr Augenmerk mittlerweile auf soziale Netzwerke gerichtet. Einige dieser Netze wurden bereits Opfer von Cyberattacken, die unter anderem auf den Diebstahl persönlicher Anwenderdaten abzielen.

Die beliebtesten sozialen Netze in Russland heißen VKontakte.ru, Odnaklassniki.ru und Livejournal.

Nun haben wir den Netzwurm Rovud entdeckt, der sich unter den Anwendern des Systems VKontakte verbreitet.

Die erste Variante dieses Wurms wurde am frühen Morgen des 16. Mai entdeckt. Sein Funktionsprinzip ist überaus einfach, aber auch gleichzeitig originell.

Der Körper des Wurms wird auf einer der – möglicherweise gehackten – Seiten unter dem Namen deti.jpg platziert. Für die erste Variante des Wurms sah der Link folgendermaßen aus:

http://Roland.misecure.com/deti.jpg

Bei einem Klick auf den Link öffnete sich aber keine Bilddatei, sondern eine ausführbare Datei.

Einmal auf dem Computer ausgeführt, sucht der Wurm nach Cookies von VKontakte-Anwendern, die er im Folgenden zu einer Verbindung mit der Site benutzt und daraufhin den schädlichen Link an alle Kontakte des infizierten Anwenders versendet.

Wenn nun wiederum einer der Empfänger diesem Link folgt, die Datei lädt und startet, so wiederholt sich der Infizierungszyklus und auch die Kontakte des neuen Opfers erhalten den gefährlichen Link.

Die Funktion des Wurms beinhaltet auch visuelle Effekte: Beim Start der Datei erscheint auf dem Bildschirm der folgende Cartoon:

Zudem verfügt der Wurm über eine destruktive Funktion. Am 25. soll er auf dem Bildschirm die folgende Mitteilung anzeigen:

Bei der Arbeit mit VKontakte.ru haben Sie nicht einmal Ihr Rating
erhöht und uns daher keinen Gewinn erbracht. Dafür wird Ihr Computer
zerstört! Sollten Sie sich an die Polizei wenden, so werden Sie das bitter
bereuen!
Hochachtungsvoll, Pavel Durov

Daraufhin wird der Wurm beginnen, Dateien auf dem Opfercomputer zu löschen.

Obwohl die erste Variante des Wurms auch von anderen Antiviren-Herstellern sehr schnell entdeckt und der Support Service von VKontakte über den Vorfall informiert wurde, gelang es nicht, die Epidemie innerhalb eines Tages zu stoppen.

Die unbekannten Autoren des Wurms veränderten das Format des Links auf der infizierten Site, der an die Kontakte des Opfers geschickt wird und lösten damit eine neue Infizierungswelle aus. Offensichtlich hatte die Administration von VKontakte lediglich programmatisch den Austausch mit dem Link auf die Datei deti.jpg verboten. Die Autoren des Wurms haben diese „Beschränkung“ äußerst elegant umgangen.

Die Variante Rovud.c verschickte den folgenden Link:

http://vkontakte.ru/away.php?to=%68%74%74%70%3a%2f%2f%72%6f%6c%61
%6e%64%2e%6d%69%
09%73%65%09%63%75%72%65%2e%63%6f%6d%2f%64%65%74%69%2e%6a%70%67

Beim Klick auf diesen Link wurde der Anwender aber tatsächlich wieder auf die Site

umgeleitet.

Die neue Variante – Rovud.c – wurde am Morgen des 17. Mai entdeckt und zum gegenwärtigen Zeitpunkt übersteigt die Anzahl der Anwender, die den schädlichen Link der Variante .c in ihrem persönlichen Konto gefunden haben, die Anzahl der Anfragen bei weitem, die sich auf die erste Version des Wurms beziehen!

Noch interessanter ist allerdings, dass dieser Wurm eine Vorgeschichte hat: Einen Tag vor seinem Erscheinen schwappte eine riesige Welle von Phishing-Attacken über das russische Internet. Ziel dieser Attacken war es, das Rating eines gewissen Anwenders zu puschen:

Bei Vkontakte.ru gibt es eine Preisverlosung sowie einen
garantierten Bonus von +300% auf Ihr aktuelles Rating.

Um den Bonus zu erhalten und an der Verlosung teilnehmen zu können schicken Sie
eine kostenlose SMS mit dem Text: id10682124 an die Nummer 4449.

Mit freundlichen Grüßen,
die Administration von Vконтакте.ru

So eine SMS verbessert einzig und allein das Rating des Anwenders mit der angegebenen ID. Und selbstverständlich ist sie auch nicht umsonst, sondern kostet $0.30 ohne Mehrwertsteuer.

Noch am selben Tag wurde die persönliche Seite dieses Anwenders von der Administration von VKontakte gelöscht. Doch am nächsten Tag erschien der Wurm Rovud auf der Bildfläche, der Variationen über das Thema Erhöhung des Ratings spielt und eine Mitteilung über die „Zerstörung des Computers“ mit Pavel Durova unterschreibt – dem Namen des Gründers von VKontakte.

Womit haben wir es hier eigentlich zu tun? Mit der Rache „beleidigter“ Hacker oder vielleicht doch mit einer wohl durchdachten Attacke gegen VKontakte, mit dem Ziel den Ruf des Netzwerks zu schädigen und die Zahl der Anwender zu minimieren? Wir wissen es nicht.

Während ich diesen Blog schreibe, ist die Datei des Wurms bereits von der Site gelöscht, von der dessen Verbreitung ausging. Das bedeutet allerdings nicht, dass nicht schon bald im russischen Internet eine neue Variante von Rovud auftaucht.

Wir behalten die Sache im Auge.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.