Panda Software warnt: Wurm Noomy.A verbreitet sich via IRC und eMail

Alarmierende Charakteristiken und steigende Verbreitung in den letzten Tagen
(PresseBox) (Duisburg, ) Noomy.A: ein hoch entwickelter Wurm, der sich durch Social Engineering über IRC verbreitet.

Duisburg 06.Oktober 2004

Das Forschungslabor PandaLabs hat in letzter Zeit verstärkt das Erscheinen des Wurms Noomy.A festgestellt. Auch wenn es bisher keine Berichte über Schäden auf infizierten Computern gibt zeigt dieser Wurm doch einige allarmierende Charakteristiken auf, die einen neuen Trend bei den Code Techniken zeigen.

Noomy.A ist in Visual Basic verfasst und darauf programmiert sich über IRC und e-Mail zu verbreiten. Betreffzeile und Nachrichtentext werden aus einer langen Liste per Zufall ausgesucht, so dass die Eigenschaften der Nachricht von Mail zu Mail sehr unterschiedlich sind. Genauso sieht es bei dem Dateianhang aus, welcher den eigentlichen Wurmcode enthält. Beim Ausführen der Datei sendet Noomy.A sich selbst zu allen Adressen des infizierten Computers, die er in Dateien mit folgenden Endungen gefunden hat: .dbx, .htm, .html or .php

Bis hierher also keine besonderer Abweichung zu den traditionellen e-Mail Würmern. Bei der Verbreitung über IRC nutzt er allerdings eine unkonventionelle Methode. Er erstellt einen http Server auf dem infizierten Computer und legt eine große Zahl von Dateien mit Kopien seines Codes an. Die Namen der Dateien können neben vielen anderen folgende sein: 2004serials.pif, Ageofempires2crack.exe, AgeOfMythologyISO.exe oder AnaKurnikovaVirualGirl2004.scr
Noomy.A stellt danach eine Verbindung her und loggt sich in die verschiedenen IRC Channel wie ein normaler User ein und sendet Nachrichten zu verschiedenen Chatrooms. Die gesendeten Nachrichten arbeiten mit dem Social Engineering System, d.h. Sie versehen Dateien mit attraktiven Namen, um die User dazu zu bewegen, diese herunter zu laden. Hier einige Beispiele:

- everyone interested in the newest cracks can visit my private server while im online there other things on it too
- download Britney Spears virtual girl screensaver at my private server while im online

Die Nachrichten enthalten einen Link, welcher den User mit dem Server auf dem infizierten Computer verbindet. Beim Klick auf diesen Link öffnet sich eine Seite, die den Download der im Chatroom angepriesenen Dateien ermöglichen soll. Alle Dateien dieser Seite sind infizierte Dateien die von Noomy.A erstellt wurden.

Um die Seiten realistischer aussehen zu lassen erstellt Noomy.A verschiedene Style Sheets im Server des infizierten Computers. So erscheinen unterschiedliche Seiten wenn ein User die gleiche Webadresse mehrmals besucht.
Noomy.A beendet zusätzlich Prozesse von Antivirensoftware und kann so ungehindert auf dem Rechner agieren, außerdem bleibt der Computer für weitere Angriffe anfällig.
Als wenn das noch nicht genug wäre wurde Noomy.A auch noch darauf programmiert Denial of Service Attacken gegen Webseiten verschiedener Softwarehersteller, inklusive Microsoft zu starten.

„Viele Codes nutzen IRC Server zum Ausführen ihrer Aktionen“ erklärt Luis Corrons, Chef von PandaLabs. „Meistens agieren sie als Mittelsmann zwischen Hacker und Virus, um Zugriff auf den infizierten Rechner zu ermöglichen. Die Art und Weise wie Noomy.A Social Engineering als Trick bei IRC Usern einsetzt scheint ein neuer Weg der Virenverbreitung zu sein. Die Anwender müssen vorsichtiger werden und Nachrichten, die Content anbieten, den Sie nicht angefordert haben ignorieren.“ Auch wenn aktuell noch keine Berichte über Schäden durch Noomy.A vorliegen rät Panda Software dazu die Antivirenlösungen zu aktualisieren und vorsichtig im Umgang mit IRC Channeln zu sein.

Weitere Informationen über Noomy.A und andere Bedrohungen erhalten Sie unter: http://www.pandasoftware.com/...
Befreien Sie Ihren Rechner von Plagegeistern wie Viren, Würmern und Trojanern mit dem Panda ActiveScan, dem kostenlosen Online Virenscanner, der die gefundenen Viren auch gleich entfernt http://www.pandasoftware.com.

Kontakt

Panda Security Germany
Dr. Alfred-Herrhausen-Allee 26
D-47228 Duisburg
Markus Mertes
Presse / Marketing
Bereichsleiter New Business
Social Media