Neue Variante des Yaha-Wurms auf dem Vormarsch

Der im Juni entdeckte Mail-Wurm "Yaha" verbreitet sich in einer neuen Variante. Win32/Yaha.K zeichnet sich durch die gleichen Schadroutinen aus, er versucht Antiviren-Software auszuhebeln und hängt sich so in das Windows-System, dass er vor dem Start einer jeden .exe-Datei ausgeführt wird. Antiviren-Hersteller raten Anwender, ihre Virensignaturen zu aktualisieren, da die neue Variante nicht unbedingt von alten Signaturdateien erkannt wird.

Ein möglicher Grund für die erneute Verbreitung ist die Tatsache, dass Yaha.K so genannte "malformed Attachments" verwendet: Manche Schutzsoftware sieht diese nicht RFC-konformen Dateianhänge einfach nicht, während Outlook oder Outlook Express sie problemlos öffnen oder ausführen. So scheitert die Unternehmenslösung MIMESweeper bei der Erkennung dieser Attachments, wie im MIMESweeper-Forum beschrieben ist. Es gibt zwar Workarounds wie die Erkennung über den Mail-Text oder Teile des encodierten Virus, die aber zu Lasten der Scangeschwindigkeit gehen. Das Einspielen von neuen Virensignaturen hilft hier erst einmal nichts. Vielmehr muss man auf einen baldigen Fix vom Hersteller hoffen, der einen Mail-Anhang auch als solchen erkennt.

Nähere Informationen zum Schutz vor Viren und Würmern, Links zu Herstellern von Antiviren-Software und zu kostenlosen Schutzprogrammen finden sich auf den Antiviren-Seiten von c't. (pab)