Skype- und Yahoo-IM-Nutzer aufgepasst: Hinterhältiger Rootkit-Wurm lauert in persönlichen Nachrichten

18. Mai 2010
Arne Schwarze Von Arne Schwarze, IT Sicherheit, News & Trends ...

Die neue Version des kürzlich entdeckten Wurms W32.Yimfoca ist noch raffinierter, noch aggressiver, noch schädlicher.

Sicherheitsexperten von Bitdefender und das vietnamesische IT-Sicherheitsportal Bkis warnen vor dem neuen Wurm, der unter "Backdoor.Tofsee" und "W32.Skyhoo.Worm" bekannt ist. Sobald das Schadprogramm Ihren Rechner erst einmal infiziert hat, kann es nur mit viel Aufwand wieder entfernt werden.

Der Wurm verbreitet sich über Instant Messenger,  insbesondere über den Yahoo Messenger und Skype. Innerhalb einer laufenden Unterhaltung schiebt er dazu einen Link ein, der angeblich zu einem Bild führt. Anhand der Einstellungen des jeweiligen Benutzers erkennt der trickreiche Wurm sogar automatisch, in welcher Sprache er seine Nachrichten senden muss.

Der angezeigte Link führt zu einer Rapidshare-ähnlichen Seite, von der ein Download als ZIP-Datei startet. In dieser ZIP-Datei finden Sie jedoch nicht das erwartete Bild vor, sondern das Schadprogramm in Form einer .COM-Datei. Wenn Sie diese Datei starten, installiert sich der Wurm auf Ihrem System mit einem Rootkit-Treiber. Dadurch ist er nur schwer zu entdecken und zu löschen.

Direkt nach der Installation deaktiviert das Schadprogramm auf Ihrem Rechner installierte Antivirus-Programme, Removal-Tools und die Windows Firewall. Außerdem blockiert er den Zugriff auf Internetseiten mit Online-Virenscannern und von Anbietern von Antivirusprogrammen.

Durch einen Autostart-Eintrag in der Registrierung startet der Wurm nun bei jedem Start Ihres Rechners mit und kopiert sich auf angeschlossene Wechseldatenträger, z.B. USB-Sticks. Im laufenden Betrieb versendet sich der Wurm dann per Instant Messenger an Ihre Kontakte und infiziert sogar E-Mails, Word- und Excel-Dateien.

Backdoor.Tofsee ist damit noch gefährlicher als seine Vorgängerversion W32.Yimfoca. Achten Sie daher bei Dateien, die Sie über Ihren Instant Messenger erhalten, besonders sorgfältig darauf, dass es sich nicht um ausführbare Dateien (z.B. .EXE, .COM oder .VBS) handelt. Verwenden Sie außerdem ein aktuelles Antivirenprogramm. Da der Wurm mittlerweile bei den Herstellern der Antivirenprogramme bekannt ist, sollte dieses ihn noch vor der Installation stoppen.

Gratis: Die besten Viren-Scanner im Test

+ Gratis Eilmeldungen "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner,
  • das zeichnet einen guten Viren-Scanner aus,
  • Gratis Eilmeldungen sobald ein neuer Virus auftaucht.
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zum Thema

Gratis: Die besten Viren-Scanner im Test

+ "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner
  • Gratis Virus-Eilmeldungen
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"