Neuer E-Mail-Wurm aktualisiert sich selbst
Ein neuer E-Mail-Wurm namens "Sonic" verbreitet sich seit Anfang dieser Woche. Das Besondere an dem Schädling ist eine eingebaute Aktualisierungs-Routine.
Ein neuer Mail-Wurm namens "Sonic" verbreitet sich seit Anfang dieser Woche in Deutschland und Frankreich. Das Besondere an dem Schädling ist eine eingebaute Aktualisierungs-Routine: Der Wurm an sich verschickt lediglich eine Laderoutine als Mail-Attachment; erst wenn der Schädling aktiv (ausgeführt) wird, lädt er das Hauptmodul von einer Geocities-Website.
E-Mails, die den Schädling enthalten, haben ein Attachment namens "Girls.exe" oder "Lovers.exe"; diese ausführbare Datei muss der Anwender doppelklicken, um sich zu infizieren. Ist das geschehen, so kopiert sich der Wurm in den Ordner Windows\System als "GDI32.EXE". Außerdem erkennt man den aktiven Schädling im Task-Manager als "Sonic". Erst danach versucht der Wurm eine Verbindung zu einer Geocities-Website aufzubauen, um eine Datei namens "Latestversion.txt" zu übertragen. Diese enthält die aktuelle Version des Hauptmoduls. Ist eine veraltete Version oder gar kein Hauptmodul auf dem lokalen Rechner vorhanden, lädt und aktiviert "Sonic" das Modul.
Nach Angaben des russischen Antiviren-Herstellers Kaspersky Lab besteht die Aufgabe des Hauptmoduls in der Bespitzelung aller Nutzeraktivitäten und der Kontrolle über den infizierten PC per Hintertürchen. Allerdings schätzt Kaspersky die aktuellen Versionen noch nicht sonderlich gefährlich ein. Da aber der Virus-Autor das Hauptmodul jederzeit verändern kann, ist eine objektive Einschätzung der Gefahr kaum möglich.
Bei Network Associates (NAI), Hersteller der MacAfee-Antiviren-Software, sind mittlerweile vier Varianten des Schädlings bekannt. Die neuen Virensignaturen von NAI (DAT4102) die laut Hersteller heute Abend zum Download bereitstehen, sollten dann auch die neuesten Varianten erkennen.
Toralv Dirro, Virus-Experte bei NAI erklärte allerdings gegenüber [ heise online], dass das Prinzip des selbstaktualisierenden Virus an sich nicht neu ist. Er warnte aber erneut vor ausführbaren E-Mail-Anhängen: "Wir können nicht oft genug betonen, dass besonders bei EXE-Dateien größte Vorsicht geboten ist. Keinesfalls sollten unbekannte Attachments ausgeführt werden, bevor man sich nicht zumindest beim Absender versichert hat, dass der Inhalt ungefährlich ist." Detaillierte Informationen und Hinweise zur Beseitigung des Schädlings stellt NAI in seiner Antiviren-Datenbank bereit.
Weitere Hinweise zum Schutz vor Viren, Trojanern und E-Mail-Würmern sowie zum Umgang mit E-Mail-Attachments finden sich auf der Anti-Viren-Seite von c't. (pab)
