Mutierende Mail-Würmer im Tagesrhythmus [Update]

Den Überblick über die momentan neu ausbrechenden Schädlinge zu behalten fällt nicht leicht: Neben den neuen Bagle-Varianten G bis J gibt es auch neue Varianten des Netsky- und des MyDoom-Virus. Während sich die neuen Netsky-Varianten (E und F) und die MyDoom-Variante G bislang eher wenig bemerkbar machen, verbreiten sich die Neuauflagen der Bagle-Würmer schon wieder stärker. Die G-, I- und J-Varianten treffen bereits in regelmäßigen Abständen auf dem Heise-Mailserver ein.

Seit der F-Variante versenden sich die Bagle-Würmer häufiger auch über passwortgeschützte Zip-Dateien. Der Benutzer muss das in der Mail aufgeführte Passwort eingeben, um das Archiv zu öffnen -- und sich zu infizieren. Dass sich Schädlinge über passwortgeschützte Zip-Archive verbreiten, ist nicht neu, allerdings ist Bagle wohl der erste Schädling, der stets zufällige Passwörter für die Archive generiert.

Virenscanner, die keine verschlüsselten Archive öffnen können, finden den Schädling deshalb nicht. Manche Scanner wie der von Network Associates (NAI) erkennen den Virus jedoch trotzdem -- möglicherweise verwendet NAI die unverschlüsselten Verwaltungsinformationen der Archive, die Name, Datum und Größe der eingebetteten Dateien enthalten.

Bei den Bagle-Varianten fällt zusätzlich auf, dass die Autoren offenbar penibel darauf achten, dass neue Varianten nicht generisch erkannt werden. Antivirus-Unternehmen bestätigten gegenüber heise Security, dass sie bei neuen Bagle-Mutationen stets ihre Signaturen aktualisieren müssen, während die neuen Netsky- und MyDoom-Schädlinge häufig generisch erkannt werden. Ebenfalls auffällig ist, dass die die Schädlinge begleitenden Mails immer geschickteres Social Engineering anwenden, um den Anwender zum Ausführen des Attachments zu bewegen. Bagle.J beispielsweise setzt den Domainnamen des Empfängers stets in die Betreffzeile, so dass sich der Leser persönlich angesprochen fühlt. Diese Methode ist bei Spam schon länger gang und gäbe, bei Mail-Würmern aber eher ein neues Phänomen.

Dass mittlerweile schon während eines Tages gleich mehrere neue Schädlingsmutationen auftauchen, macht es den Antiviren-Unternehmen nicht leichter, stets aktuelle Virensignaturen zur Verfügung zu stellen. Mittlerweile müssten sich die Anwender eigentlich also täglich neue Virensignaturen besorgen, um auf dem aktuellen Stand zu bleiben. Und da kaum noch gewährleistet werden kann, dass die jüngste Variante eines Wurms auch bereits tatsächlich in den Signaturen des Virenscanners enthalten ist, sollte um so mehr der alt bekannte Rat beherzigt werden, grundsätzlich keine Attachments zu öffnen, solange man sich über dessen Inhalt nicht hundertprozentig sicher ist.

Grundsätzlich gilt also weiterhin: Egal wie die Datei in einem Mailanhang heißt, man sollte sie nicht ungeprüft öffnen, anklicken oder ausführen. Auch wenn der Absender bekannt ist, kann die Mail einen Wurm oder Virus enthalten. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security.

Update:

Sowohl Kaspersky Labs als auch Sophos weisen darauf hin, dass die Autoren der MyDoom-, Bagle- und Netsky-Schädlinge in den Quelltexten feindliche Botschaften an die jeweils anderen Wurm-Autoren einbauen. Hintergrund ist möglicherweise, dass die Netsky-Schädlinge die von MyDoom hinterlassenen Hintertüren wieder schließen. So heißt es im Quelltext von NetSky.C: "we are the skynet - you can't hide yourself! - we kill malware writers (they have no chance!) - [LaMeRz-->] MyDoom.F is a thief of our idea! - -< SkyNet AV vs. Malware". Im Quelltext von Bagle.I findet "Hey, NetSky, fuck off you bitch, don't ruine our business, wanna start a war?" Und auch in der F-Variante des MyDoom-Wurms findet sich ein abfälliger Kommentar über NetSky ("your shitty app"). Kasperky Labs geht davon aus, dass es sich um einen Kleinkrieg zwischen den Virenautoren handelt -- auf der einen Seite NetSky und auf der anderen MyDoom und Bagle. (pab)