Die russischen Sicherheitsspezialisten von Kaspersky Labs warnen vor einem neuen Wurm namens Swen, der sich über E-Mails, das P2P-Netzwerk KaZaA und IRC (Internet Relay Chat)-Kanäle verbreitet. Swen gaukelt bei den infizierten Rechnern die Installationen eines Patches vor. Von dem neuen Wurm sind nach Angaben von Kaspersky bisher weltweit über 30.000 Rechner betroffen.

Microsoft-Fake

Infizierte E-Mails können verschiedene Dienste von Microsoft in der Betreff-Zeile haben wie z.B. MS Technical Assistance, Microsoft Internet Security Solution und andere. In der Mail wird der User aufgefordert, einen "speziellen Patch zu installieren", der sich angeblich im Anhang befindet. Wie auch sein berüchtigter Vorgänger Klez nutzt der Wurm für seine Verbreitung eine Sicherheitslücke im Internet Explorer. Dadurch kann sich Swen selbst ohne jede "Hilfe" des Anwenders starten.

Blockiert Anti-Viren-Programme und Firewalls

Beim ersten Start lässt der Wurm nach Angaben von Kaspersky manchmal ein Fenster mit der Überschrift "Microsoft Internet Update Pack" auf dem Bildschirm erscheinen und ahmt die Installation eines Patches nach. Swen blockiert verschiedene Anti-Viren-Programme und Firewalls, sucht nach E-Mail-Adressen und verschickt dann an diese Kopien von sich selbst über eine direkte Verbindung zu einem SMTP-Server.

Verbreitung

Beim Verbreiten über KaZaA kopiert sich der Wurm unter verschiedenen Namen in das Verzeichnis KaZaA Lite und erstellt im temporären Windows-Verzeichnis ein Unterverzeichnis mit einem zufällig gewählten Namen. Dieses wird als Quelle für das P2P-System angegeben, wodurch die anderen User Zugriff auf die betreffenden Wurm-Dateien erhalten und diese ahnungslos herunterladen.

Weitere Details und Bilder sind hier zu finden. (pte)