Suchen

Sprachbegabte Instant-Messaging-Malware Wurm Zeroll nutzt Instant Messenger wie Skype, Google Talk und ICQ

| Redakteur: Stephan Augsten

Der Antivirus-Hersteller Kaspersky hat mit Zeroll einen Instant-Messaging-Wurm entdeckt, der sich durch zwei Besonderheiten von ähnlicher Malware abhebt: Die vier Varianten der Wurm-Familie verbreiten sich gleichzeitig über etliche Instant Messenger und verwenden 13 verschiedene Sprachen.

Firmen zum Thema

Omnipräsent: Der Wurm Zeroll verbreitet sich über viele gängige Instant Messenger.
Omnipräsent: Der Wurm Zeroll verbreitet sich über viele gängige Instant Messenger.
( Archiv: Vogel Business Media )

Die neue Wurm-Familie Zeroll hat es auf Instant-Messaging-Nutzer abgesehen, die den Yahoo! Messenger, Skype, Paltalk Messenger, ICQ, Windows Live Messenger, Google Talk oder den XFire Client für PC-Spieler nutzen. Bislang hat der Antivirus-Spezialist Kaspersky vier Varianten des Wurms entdeckt.

Bei einer Infektion durchsucht IM-Worm.Win32.Zeroll die Adresslisten der genannten Instant Messenger (IM) und versenden eine Sofortnachricht an alle Kontakte. Die Instant Message verspricht ein interessantes Bild, der enthaltene Hyperlink führt das potenzielle Opfer allerdings zu einer Zeroll-Variante.

Nicht nur, dass Zeroll alle genannten IM-Programme gleichzeitig durchsuchen kann – er tut sich auch durch seine multilingualen Fähigkeiten hervor: Der Wurm verschickt die bösartige Nachricht in 13 verschiedenen Sprachen, darunter Englisch, Deutsch, Spanisch und Portugiesisch. Er wählt je nach Heimatort des Empfängers selbständig die Sofortnachrichten-Sprache. Neben den USA werden derzeit Mexiko, Brasilien und Peru am stärksten von Zeroll heimgesucht. Aber auch in Afrika, Indien und mehreren europäischen Ländern hat Kaspersky nach eigenen Angaben schon etliche Infektionen beobachtet.

Zeroll beinhaltet Backdoor-Funktionen und gewährt einem Angreifer somit die volle Kontrolle über den infizierten Computer, ohne dass der Anwender etwas davon erfährt. Hat es der Wurm auf ein System geschafft, dann nimmt er umgehend Kontakt zu seinem Command-and-Control-Server auf. Seine Kommandos wie den Befehl zum Download weiterer Malware erhält Zeroll über einen IRC-Kanal (Internet-related Chat).

Der Wurm nutzt abhängig vom Standort des infizierten Systems und den installierten Instant Messengern verschiedene IRC-Kanäle. Ein möglicher Botnetz-Inhaber könnte die infizierten Rechner einfach kategorisieren, den Rechnern seiner Wahl verschiedene Befehle übermitteln und somit beispielsweise besonders zielgerichtete Spam-Kampagnen starten, warnt Kaspersky.

Offenbar befinden sich die Wurm-Autoren noch in einem frühen Stadium ihrer kriminellen Aktivitäten, schätzt Dmitry Bestuzhev von den Kasperky Labs in Lateinamerika: „Im Moment infizieren sie noch möglichst viele Rechner, vermutlich um gut dotierte Aufträge beispielsweise für Spam-Kampagnen zu bekommen.“

(ID:2046892)