Sturm-Wurm mit Passwortschutz

Eine neue Wurmversion aus der Nuwar/Zhelatin-Familie greift einen Trick auf, den bereits der Bagle-Wurm eingesetzt hat: Um einer Erkennung durch Viren-Scanner zu entgehen, ist die ausführbare Datei mit dem Schadcode in einem passwortgeschützten ZIP-Archiv versteckt.

Die Wurm-Mail warnt den Anwender vor einem gefährlichen Wurm, gegen den der angehängte Patch schützen soll. Er sei aus Sicherheitsgründen verschlüsselt und der Anwender solle das Passwort eingeben, um ihn zu installieren. Um sich vor Scannern zu schützen, die Text analysieren, ist dieser ähnlich wie bei manchen Spam-Mails nur als Bildatei eingebunden.

Diese Vorgehensweise zeigt Erfolg: Während nahezu alle Scanner den ausgepackten Schädling erkennen, ist die Erkennungsrate der verschlüsselten ZIP-Datei recht schlecht. Somit kann sich der Wurm zumindest an vielen Viren-Scannern auf Mail-Gateways vorbeimogeln. Ein aktiver Virenwächter auf dem Arbeitsplatzsystem sollte allerdings spätestens beim Öffnen des verschlüsselten Archivs anschlagen. Über den c't-Emailcheck können Sie sich unter anderem auch einen harmlosen, verschlüsselten Testvirus zusenden lassen (EICAR in passwortgeschütztem ZIP-Archiv), mit dem Sie überprüfen können, wie Ihr Virenschutz auf derartige Tricks reagiert. (ju)