W32/Bropia

Bei Bropia handelt es sich um einen Wurm, der bereits im Januar in verschiedenen Varianten entdeckt worden war. Allen gemeinsam ist die Verbreitungsweise: Sofern der MSN Messenger installiert und gestartet ist, verschickt sich der Wurm automatisch an alle MSN-Kontakte. Im Gegensatz zu den ersten Varianten scheint sich die neuste Inkarnation des Bropia-Wurms etwas erfolgreicher zu verbreiten.

Wenn ein Benutzer die via MSN-Messenger empfangene Datei öffnet, dann geschieht folgendes:

Der Wurm kopiert sich mit dem Dateinamen msnus.exe in den Windows Systemordner (z.B. C:\Windows\System32\ oder C:\Winnt\system32\). Danach prüft er, ob im selben Ordner diese Dateien vorhanden sind: adaware.exe, dnsserv.exe, lexplore.exe, VB6.EXE.exe, Win32.exe, winhost.exe und winis.exe.

Wenn er nicht fündig wird, erstellt und startet er direkt in C: eine Datei namens cz.exe. Diese Datei ist eine Variante eines anderen Wurms (Agobot, alias Rbot, Spybot oder Sdbot), der im System ziemlich üble Hintertüren öffnet. Der Agobot-Wurm kopiert sich mit den Dateinamen winhost.exe in den Windows-Systemordner (z.B. C:\Windows\System32\ oder C:\Winnt\System32\) und löscht die zuvor erstellte Datei cz.exe.

Die Datei winhost.exe trägt der Wurm in der Windows-Registry ein, damit sie bei jedem Windows-Start geladen wird. Der Eintrag findet gleich in mehreren Registry-Zweigen statt, namentlich in diesen dreien:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\OLE

Der Eintrag heisst:

"win32" = "(Pfad zu System-Ordner)\winhost.exe"

Auf das Laufwerk C: kopiert er sich mit mindestens einmal mit einem der folgenden Dateinamen:

bedroom-thongs.pif

Hot.pif

LMAO.pif

LOL.scr

naked_drunk.pif

new_webcam.pif

ROFL.pif

underware.pif

Webcam.pif

Um den Benutzer abzulenken, erstellt er direkt in C: die Datei sexy.jpg und zeigt sie in einem Browserfenster an. Die Datei ist ein Bild eines gegrillten Hühnchens.

Nun überwacht der Bropia-Wurm den Status der Kontakte im MSN-Messenger. Sobald sich der Online-Status eines Kontakts ändert, versucht sich der Wurm an ihn zu verschicken. Nebenbei setzt er die Einstellung des Systemlautstärkereglers auf Null. Antivirus-Firmen vermuten, dass dies verhindern soll, dass der Benutzer des infizierten PCs akustische Alarmsignale von Virenscannern hört.

Schäden:

Das Gefährliche am Bropia-Wurm ist das, was er im Gepäck hat: Der Schädling namens "Agobot" ist in unzähligen Varianten auch als Rbot, Spybot oder Sdbot bekannt. Er öffnet in der Internet- bzw. Netzwerkverbindung Hintertüren. Dadurch kann der befallene PC von einem Angreifer für alles Mögliche missbraucht werden, angefangen beim Ausschnüffeln von Passwörtern und sonstigen Daten, Verschicken von Spam oder für Denial-of-Service-Attacken auf andere Server.

Weitere Informationen und Hinweise zur Beseitigung des Wurms (bzw. der beiden Würmer) finden Sie bei den Antivirus-Herstellern. Diese sind sich übrigens mal wieder nicht einig, wie der Schädling heissen soll. Bei F-Secure ist die am 02.02.2005 entdeckte Variante unter dem Namen Bropia.F bekannt [1]. Auch H+BEDV [2] hat ihm den Variantenbuchstaben F verpasst. Bei McAfee [3] kennt man den Schädling als W32/Bropia.worm.g, bei Symantec [4] als W32.Bropia.J. Trend Micro [5] nennt ihn Worm_Bropia.F. Das Labor von Kaspersky nannte eine etwas früher gefundene Variante nochmals völlig anders, nämlich IM-Worm.Win32.VB.a [6].

Der Bropia-Wurm ist ein gutes Beispiel dafür, dass Dateien aus jeder Quelle mit Skepsis behandelt werden müssen. Öffnen Sie keine unerwarteten Dateien, die auf egal welchem Weg zu Ihnen gelangen, sei es via Mail, Tauschbörse oder - wie in diesem Fall - über einen Instant Messenger wie jenen von MSN.