Warnung vor dem Ameisenwurm
Der erstmals vor zwei Tagen in freier Wildbahn gesichtete Ants-Wurm scheint sich mit relativ hoher Geschwindigkeit im deutschen Sprachraum zu verbreiten.
W32/ANTS.Wurm, alias W32.Anset, kommt zwar als verdächtige .exe File via Mail daher, der Begleittext aber sorgt offenbar dafür, dass dennoch viele User darauf klicken.
Der Wurm tarnt sich als ein Tool namens Ants, ein echter Virenscanner, der auf Trojanische Pferde spezialisiert ist und dessen Version 3.0 seit längerem erwartet wird.
Text der Mail
"Hi, Anhängend die neue Version 3.0 von ANTS, dem bislang
einzigartigen kostenlosen Trojanerscanner. Zum installieren einfach
die angefügte Datei ausführen. Attached you will find the brand new
Version 3.0 of ANTS, the unique freeware trojan scanner. To install
ANTS simply run the attached setup file. Adieu, Andreas
webmaster@avnetwork.de Der URL verweist auf die echte Website
Die echten AmeisenWeil ANTS direkt auf diverse SMTP Server zugreift [siehe unten], ist er auf keine Mailprogramme zur Verbreitung angewiesen. Der 175 kb starke Wurm funktioniert auf allen Win32 Betriebssystemen und ist relativ gut getarnt.
Die Alias-Version Anset wurde im englischen Sprachraum gestern, also einen Tag später als die deutsche Variante erstmals gesichtet.
Wie man Ants lokalisiert
Der Wurm kopiert sich unter einem selbst generierten Dateinamen
ins Windows-Verzeichnis und hinterlässt folgenden Eintrag in die
Registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
Mehr dazu in den Labs von IkarusDie Verbreitung
Zur Verbreitung nutzt Ants zwar das Adressbuch von MS-Outlook versendet sich aber selbst direkt über lokal benutzte aber auch zahlreiche, offene SMTP-Server im Internet.
Ikarus nennt diese IP-Adressen: 200.52.69.2 200.52.69.9 193.92.94.226 12.34.208.35 195.229.189.2 toad.com 196.40.0.82 196.40.0.90