Mail-Wurm "fordert" Flatrate

Der Autor einer neuen Variante des kürzlich ausgebrochenen "Kournikova-Wurms" wollte mit seinem Schädling offenbar seiner Forderung, die kürzlich eingestelle T-Online-Flatrate wieder herzustellen, Nachdruck verleihen. Wie der Kournikova-Wurm kommt der Schädling als E-Mail mit einem VBS-Attachment ins Haus. Diesmal jedoch lockt die Mail nicht mit Bildern einer Tennisspielerin, sondern mit angeblichen Informationen zu den neuen Tarifmodellen von T-Online.

Mit dem Betreff "Neues von Ihrem Internetdienstleister - Robert T. Online informiert" und einem Attachment namens "Neue Tarife.txt.vbs" vom gefälschten Absender support@t-online.de gaukelt der inzwischen auf den Namen VBS/VBSWG.k@MM getaufte Schädling vor, Informationen zu den neuen T-Online Tarifen zu liefern. Wie üblich, infiziert sich der Computer nach dem Doppelklick auf das Attachment.

Wie bei seinem Vorgänger fehlt auch bei diesem Mail-Wurm eine direkte Schadfunktion: Lediglich die Verbreitungsroutine könnte indirekt Schaden durch Überlastung von Mail-Servern verursachen. Dieser Schädling verbreitet sich allerdings zusätzlich noch über den Internet Relay Chat (IRC), sofern das Opfer mIRC oder Pirch als Client in Betrieb hat. Auch die neue Variante wurde mit einem "Virus Construction Kit" erstellt, offenbar aber reichlich dilettantisch: Zwar wurde bei dem Schädling der VBS-Code verschlüsselt, aber Experten bei Network Associates (NAI) haben die dekodierte Version analysiert und dabei festgestellt, dass verschiedene eingebaute Funktionen gar nicht funktionieren.

So sollte der Mail-Wurm offenbar bei jeder Infektion eine Mail mit dem Betreff "Gebt uns unsere Flatrate wieder" an T-Online verschicken – durch einen Format-Fehler in den Dateinamen klappt das allerdings nicht. Weiterhin ist im Code vorgesehen, dass der Schädling sich in die Registry einklinkt, um nach einem Windows-Neustart wieder aktiv zu sein, aber auch diese Routine wurde fehlerhaft implementiert. "Offenbar funktioniert der Wurm nur eingeschränkt", sagt Dirk Kollberg, Antiviren-Experte bei NAI, "McAfee erkennt den Schädling – wie die meisten anderen Virenscanner auch – aufgrund seiner Ähnlichkeit zum Kournikova-Wurm ohne Update der Virensignaturen."

Trotz des fehlerhaften Quellcodes und der einfachen Erkennung verbreitete sich der Schädling am heutigen Tag schon recht stark, offenbar vornehmlich in Österreich. Die Betreiber der dort gehosteten Antivirenseite www.virus.at gaben heute Morgen bekannt, dass in ihren Server eingebrochen wurde. Dem Cracker war es gelungen, die Antiviren-Mailingliste zu kompromittieren, wodurch der besagte Schädling von www.virus.at verbreitet wurde... (pab)