Auch Skype muss als Tarnung für Trojanische Pferde herhalten. Das Mail-Sicherheitsunternehmen Messagelabs warnt vor Mails, in denen sich eine neue Variante eines so genannten IRC-Bots Wurm-artig verbreitet. Einige der in den Mails verwendeten Betreffzeilen weisen auf die VoIP-Software Skype hin, andere auf ein angebliches Online-Vergehen des Empfängers. Die Verbreitung erfolgt jedoch auch über P2P-Netze und im lokalen Netzwerk.
 |
|
| In Kooperation mit |  |
Die Mails mit falscher Absenderangabe enthalten eine ZIP-Datei mit Namen wie "Skype-stuffs", "Skype-info" oder "Skype-details". In der ZIP-Datei steckt die Programmdatei mit gleich lautendem Namen, deren zwei Dateiendungen durch zahlreiche Leerzeichen getrennt sind. Sie ist etwa 44 KB groß.
Wird die Wurm-Datei ausgeführt, erscheint zunächst eine vorgetäuschte Fehlermeldung: "The file could not be opened!". Dann führt das Programm seine eigentliche Bestimmung als Trojanisches Pferd aus. Es nimmt Kontakt mit IRC-Servern (Internet Relay Chat) auf und wartet auf Anweisungen. Dazu öffnet es eine Hintertür auf einem zufällig ausgewählten Port.
Im lokalen Netzwerk versucht der Wurm eine Sicherheitslücke im Plug&Play-Dienst von Windows NT und 2000 auszunutzen. Die Schwachstelle ist im Microsoft Security Bulletin MS05-039 beschrieben, ein Update zu ihrer Beseitigung ist verfügbar. Ferner kopiert sich der Wurm unter vielen verschiedenen Dateinamen in die Download-Verzeichnisse diverser P2P-Netze. Schließlich sendet es sich per Mail an Adressen aus dem Windows-Adressbuch.
Bei Symantec wird der Schädling als "W32.Fanbot.A@mm" geführt, bei Trend Micro als "WORM_FANBOT.A". Er kopiert sich mit dem Dateinamen "remote.exe" in das System-Verzeichnis von Windows und trägt sich in die Registry ein, damit er beim Starten von Windows automatisch geladen wird. Dazu erstellt Fanbot.A einen neuen Dienst mit dem Namen "Remote Procedure Call (RPC) Remote", dessen Starttyp auf "automatisch" gesetzt ist.
Die Verbreitung von Fanbot.A wird als recht gering angesehen. Offenbar fallen nicht mehr so viele Anwender auf angebliche Updates herein, die unaufgefordert per Mail kommen. Soweit bekannt ist es immerhin das erste Mal, dass Skype als Thema für versandte Wurm-Mails herhalten muss.