Rodok: Wurm kommt per MSN Messenger

Mehrere Antivirenhersteller warnen vor dem Wurm Rodok.A, der sich über den MSN Messenger ausbreitet. Der aus Norwegen stammende Schädling betätigt sich als Datendieb und öffnet auf befallenen Rechnern eine Backdoor.

Der in Visual Basic geschriebene Rodok alias Henpeck alias W32.Flemingtarnt sich als CD-Key-Generator. Der speicherresidente Wurm baut ein Fenster mit den beiden Buttons "Generate" und "Quit" auf (siehe Bild). Wählt der Anwender "Generate", verschickt Rodok an alle MSN-Messenger-Kontakte eine Nachricht.

Diese fordert die Empfänger auf, doch für den Absender ein selbstgeschriebenes Programm zu testen, das sich über einen Link erreichen lässt (siehe Bild). Folgt der Empfänger dem Link, infiziert er damit seinen Rechner.

Daneben lädt der Wurm zwei Updates (update35784.exe und hehe2397824.exe) von einer Website (home.no.net) und legt sie in Laufwerk C ab. Weiter durchsucht er die Registry nach CD-Keys für Half-Life und Counterstrike und verschickt diese an einen Hotmail-Benutzeraccount (styggefolk). Schließlich installiert er eine Backdoor, die DoS-Attacken via IRC ermöglicht.

Alle Websites, die der am Dienstagabend das erste Mal aufgetauchte Rodok zur Verbreitung nutzt, wurden mittlerweile gesperrt. Daher besteht momentan keine Infektionsgefahr mehr. Es ist jedoch nicht auszuschließen, dass in den nächsten Tagen entsprechend angepasste, virulente Varianten des Wurms erscheinen.

Interessant an Rodok erscheint insbesondere, dass er noch nicht einmal ansatzweise versucht, seine Natur als Executable zu kaschieren. Der Wurm setzt vielmehr auf Social Engineering: Die Nachricht "stammt" ja von einer bekannten Person, die obendrein um Hilfe bittet.

Damit spiegelt Rodok einen in letzter Zeit generell zu erkennenden Trend der Schadsoftware wieder. Statt auf ausgefeilte Technik setzen viele aktuelle Schädlinge auf die Überrumpelung des Benutzers durch bekannte Namen oder "interessante" Topics. (jlu)