Lovgate.C: Social-Engineering-Wurm verbreitet sich

Mit Hilfe eines besonders fiesen Tricks breitet sich derzeit der Massmailer-Wurm Lovgate.C rasant aus. Er tarnt sich als Antwort eines Empfängers auf eine an diesen versendete Mail.

Dazu kopiert Lovgate.C auf einem befallenen Rechner die Subjects und Nachrichtentexte der Mails im Outlook(-Express)-Posteingang. Dann versendet er sich über einen eigenen SMTP-Server zurück an deren Absender. Dabei hängt er an das vermeintliche Reply den Text: "I'll try to reply as soon as possible. Take a look to the attachment and send me your opinion!" sowie seinen Schadcode als EXE-File an.

Der Empfänger einer solchen verseuchten Mail missversteht in vielen Fällen offenbar tatsächlich die getürkte "Antwort" als Reply eines wohlbekannten Gegenübers und klickt arglos den als Attachment getarnten Wurm an. In Taiwan, Australien, Frankreich und Japan zumindest breitet sich Lovgate.C derzeit rasant aus, Trend Micro und Symantec haben bereits Alarm ausgelöst und stellen Signatur-Updates für ihre AV-Scanner bereit.

Bei Lovgate.C handelt es sich nicht nur um einen Massmailer, sondern auch um einen Trojaner. Er öffnet eine Backdoor auf Port 10168, über die sich Informationen abzapfen und Programme ausführen lassen. Parallel informiert er die Mail-Adressen 54love@fescomail.net und hacker117@163.com über den integrierten SMTP-Server von der erfolgreichen Infektion.

Zudem breitet sich Lovgate.C nicht nur via Mail, sondern auch über Windows-Netzwerk-Shares aus. Dort legt er unter verschiedenen Namen, aber stets als EXE-Files, Kopien seines Codes ab. Eine Liste verdächtiger Dateinamen finden Sie beispielsweise im Advisory von Trend Micro. (jlu)