E-Mail-Wurm Swen/Gibe verkleidet sich als Microsoft-Update [Update]

Ein alter Wurm in neuen Kleidern tarnt sich als kumulativer Sicherheits-Patch

In Pocket speichern vorlesen Druckansicht 945 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Kleider machen Leute sagt man, offenbar gilt dies auch für Viren und Würmer. Der bereits im März erstmals aufgetauchte Wurm W32.Gibe alias Swen verschickte sich in einer gefälschten Mail mit Microsoft als Absender, in der Anwender aufgefordert wurden, ein "Sicherheits-Update" zu installieren. Arglose Benutzer, die einen echten Service von Microsoft vermuteten, spielten sich statt des Patches den Wurm auf die Festplatte. Jetzt hat Swen die Kleidung gewechselt und versucht Anwender in einer sehr gut gemachten HTML-Mail davon zu überzeugen, den im Anhang beigefügten angeblichen kumulativen Patch zu starten. Aufgrund der aktuellen Sicherheitslücken im Windows-RCPSS-Dienst und den Hinweisen in den Medien, sich die aktuellen Sicherheits-Updates zu installieren, dürfte auch diesmal eine Vielzahl von Anwendern auf Swen hereinfallen.

Neben den gefälschten Update-Mails kann sich Swen auch in Mails mit angeblichen Fehlermeldung eines Mailservers (qmail) verstecken: "I'm sorry I wasn't able to deliver your message to one or more destinations." ist nur ein Beispiel von Vielen. Auch diese Mails haben eine ausführbare Datei im Anhang, in der der Schädling enthalten ist.

Der Wurm verschickt sich von infizierten PCs mit seiner eigenen SMTP-Engine, -- er benutzt kein Mail-Programm um sich zu versenden--, an Adressen, die er auf dem System des Opfers findet. Dabei manipuliert er sogar die Header in der HTML-Mail, um einen älteren Fehler im Internet Explorer 5.01 und 5.5 auszunutzen. Sind diese Versionen installiert und nicht gepatched, reicht schon das Anschauen der Mail in Outlook oder Outlook Express aus, um sich zu infizieren. Des Weiteren kopiert er sich selbst über Netzwerkfreigaben, KaZaa-Netze und den Internet Relay Chat. Der Schädling versucht zudem Antivirensoftware und Personal Firewalls auf betroffenen Systemen abzuschalten.

Nach Angaben des Virenspezialisten Joe Stewart von Lurhq.com zählt der Wurm sogar einen Webcounter hoch, wenn er ein System befällt (Webcounter auf http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006). Demnach wären zum Zeitpunkt dieser Meldung bereits über eine Million Systeme befallen.

Grundsätzlich sollte man niemals vermeintliche Updates ausführen, die als E-Mail ins Haus kommen. Patches sind auf den Microsoft-Seiten erhältlich und werden grundsätzlich nicht via E-Mail verschickt. Weitere Hinweise zum Auftreten von Viren und Würmern in der E-Mail sowie generell zum Schutz vor elektronischen Schädlingen finden sich auf den Antiviren-Seiten von heise Security. Die Hersteller von Antivirensoftware haben ihre Signaturen bereits aktualisiert.

Siehe dazu auch: (dab)