Wurm tarnt sich als Nachricht ĂĽber Verhaftung von Osama bin Laden

Statt der erwarteten Bilder steckt der Wurm Bobax-P im Anhang. Auch die Mytob-Wurmfamilie wächst beständig.

In Pocket speichern vorlesen Druckansicht 170 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Ein neuer Wurm tarnt sich unter anderem als englische Nachricht über die Verhaftung des international gesuchten al-Qaida-Führers Osama bin Laden oder die Tötung des ehemaligen irakischen Diktators Saddam Hussein bei einem Fluchtversuch. Die Mail gibt etwa vor, im Anhang Bilder über die Verhaftung bin Ladens zu enthalten; in Wirklichkeit findet der Empfänger eine ausführbare Datei, deren Start den Schädling Bobax.P installiert.

Der Wurm verbreitet sich von infizierten PCs über eine eigene SMTP-Engine und versucht in andere Windows-Systeme über die bekannte LSASS-Lücke einzudringen. Zudem manipuliert er die HOSTS-Datei auf dem PC. Zuerst wurde der Schädling mittels eines Trojaners TROJ_SMALL.AHE aus dem Netz nachgeladen. Der Trojaner selbst wurde über Spamlisten verteilt.

Die Verbreitung des Schädlings ist zur Zeit noch nicht besonders groß. Laut F-Secure ist aber bereits der Betreiber eines Weblogs auf die Mails hereingefallen und meldete die Verhaftung bin Ladens.

Auch der Mass-Mailing-Wurm Mytob nervt weiter. Jeden Tag melden die Hersteller von Antivirensoftware einen neuen Abkömmling, der es auch kurzzeitig schafft, sich an den Virenscannern vorbeizuschummeln. Allerdings handelt es sich nicht wirklich um neue Ableger der Mytob-Familie, sondern um nur um alte Bekannte im neuen Gewand. So komprimieren die Programmierer ihre Schädlinge einfach nur mit neuen Laufzeit-Packern (UPX, MWE, CExe), sodass die AV-Hersteller jedesmal eine neue Signatur bereit stellen.

Auch bei den neuesten Tricksereien der Virenautoren mit angeblichen Sensationsmeldungen gilt: Anwender sollten auf keinen Fall verdächtige Anhänge öffnen und bei allen unverlangt zugesandten Mails größte Vorsicht walten lassen. Weitere Hinweise zum Schutz vor Viren und Würmern bringen die Antivirus-Seiten von heise Security.

Siehe dazu auch: (dab)