Ein neuer Wurm namens KELVIR treibt sein Unwesen im Netz, verbreitet sich über den MSN Messenger, läd einen weiteren Wurm aus dem Internet nach und hat aufgrund sehr starker Verbreitung bereits "Gelb Alarm" ausgelöst.
Der Wurm verbreitet sich über den bekannten und häufig benutzten MSN Messenger an alle im Messenger gespeicherten Adressen mittels einer Nachricht, in der eine URL aufgeführt ist. Öffnet der ahnungslose Empfänger die vertraut wirkende Nachricht, kopiert der Wurm zunächst eine Kopie in das betroffene System und läd von folgenden Adressen
Um Links zu sehen, bitte registrieren
Um Links zu sehen, bitte registrieren
Weitere Dateien nach, die als SDBOT.AUI identifiziert werden.
Dieser Wurm missbraucht in der Folge die seit längerer Zeit bekannten Schwachstellen
Remote Procedure Call (RPC)
Distributed Component Object Model (DCOM)
Windows LSASS
für die ebenso seit längerer Zeit Updates zur Verfügung stehen, wie sie unter:
Microsoft Security Bulletin MS02-026
Microsoft Security Bulletin MS04-011
beschrieben wurden.
Dieser Wurm verbreitet sich über freigegebene Netz-Ressourcen, die lediglich mit einem schwachen Passwort gesichert sind. Hierzu benutzt der Wurm eine längere Liste mit häufig verwendeten Passwörtern und Benutzernamen.
SDBOT besitzt BackDoor-Funktionen, die über einen Internet Relay Chat (IRC) gesteuert werden. Angreifer haben damit die Möglichkeit, den betroffenen Rechner fernzulenken.
Im Grunde bietet KELVIR und seine Varianten keine wesentlichen neuen Schadensfunktionen und auch die Übertragungswege sind eigentlich seit vielen Monaten bekannt.