Virenscanner übersehen ungepackten Übeltäter

Network Associates melden ein verstärktes Auftreten von Infektionen durch eine ungepackte Variante des Wurms Pretty Park. Er ist bereits seit Mai 1999 bekannt: Das infektiöse Programm im Anhang von E-Mails war in der Urversion komprimiert gespeichert. Mitte Februar dieses Jahres tauchte dann eine ungepackte Variante auf, die offenbar durch Virenscanner nicht erkannt wurde.

Damit zeigt sich nach kurzer Zeit zum zweiten Mal, dass die Hersteller von Anti-Virus-Software nur ungenügenden Aufwand in Bezug auf so genannte EXE-Packer betreiben: Erst im Dezember 1999 hatten komprimierte Versionen von Explore.Zip für eine erneute Infektionswelle durch diesen E-Mail-Wurm gesorgt. Dass neue Varianten durch den Einsatz des einen oder anderen (längst bekannten) Packprogramms jedesmal ein Scanner-Update erfordern, ist nicht einsichtig.

Pretty Park verschickt sich per E-Mail-Attachment im Namen eines Computerbesitzers an alle Einträge aus dessen Outlook-Express-Adressverzeichnis. Auf befallenen Rechnern öffnet er zudem einen Spionagekanal über das Internet Relay Chat, wodurch der Viren-Autor Informationen bis hin zu Passwörtern für DFÜ-Netzwerkverbindungen erhalten kann. c't empfiehlt dringend, keine ausführbaren Dateien in E-Mail-Anhängen zu starten, wenn deren Versand nicht ausdrücklich mit dem Absender abgeprochen war -- auch wenn dieser Absender an sich bekannt ist. (nl)