Veränderung der IM Malware

Seit ungefähr einer Woche sind neue Trends bei der Verwendung von IM (instant messaging) -Programmen zur Verbreitung von Schadcodes auf dem Vormarsch.

Erstens: wir haben IRCBots beobachtet, welche die Fähigkeit besitzen, sich über AOL Instant Messenger zu verbreiten.

Einige dieser Bots wurden als IM-Würmer eingestuft. Meiner Ansicht nach sind es jedoch Standard-IRCBots, wie wir sie täglich sehen. Es wurden Funktionen ergänzt. So ist der remote-Übeltäter in der Lage, dem Bot zu befehlen, mit der IM-Verbreitungs-Routine zu beginnen.

Der Bot-Code enthält einen Satz, der wiederum einen HTML-Link einschließt. Der remote-Übeltäter füllt diesen Link mit einem url seiner Wahl, und der AOL-User empfängt den Satz dann mit diesem Link. Es gibt eine Vielzahl dieser Art Sätze zur Auswahl.

Da AIM HTML unterstützt, ist es nicht gerade überraschend, dass es für die Absichten der Schadcode-Übeltäter ausgenutzt wird. Und es ist ein weiterer Grund, HTML in normalen Nachrichten nicht zu verwenden.

Zweitens: wir haben eine neue Modifikation des IM-Worm.Win32.Bropia, Bropia.ad entdeckt, welcher jetzt eine andere Taktik benutzt.

Bropia.ad kopiert sich, eine Reihe verschiedener Datei-Namen nutzend, in gemeinsam verwendete Verzeichnisse bekannter P2P-Programme, und dies beweist, dass Bropia P2P-Wurm Fähigkeiten hat.

Da P2P ein bekannter Verbreitungsweg und dieser nicht kompliziert zu realisieren ist, war die Verwendung dieser Verbreitungs-Routine nur eine Frage der Zeit.

Nun halten wir nach der nächsten neuen Taktik Ausschau, die sich die blackhats ausdenken. Da sich IM-Malware weiter entwickelt, sind neue Verfahrensweisen von Bedeutung, früher oder später.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.