Revival eines Wurms
Der bereits Mitte August entdeckte Wurm W32.Dumaru@mm tarnt sich als Internet-Explorer-Update und fristete bisher ein Schattendasein. Seit einigen Tagen findet er jedoch vermehrt neue Opfer.
Der bereits Mitte August erstmals entdeckte Wurm W32.Dumaru@mm fristete bisher ein Schattendasein, findet aber seit einigen Tagen verstärkt neue Opfer. Er tarnt sich als Mail mit einer Aufforderung von Microsoft (From: "Microsoft" ), den neuesten Patch für den Internet Explorer einzuspielen. Angeblich schützt die angehängte Datei patch.exe vor einem Fehler im Internet Explorer, über den bereits mehr als 500.000 Rechner infiziert wurden. Bis letzte Woche fand diese plumpe Fälschung kaum Opfer; auf dem Heise-Mail-Gateway wurden im Schnitt pro Tag circa 30 Dumaru-infizierte Mails abgefangen. Das änderte sich schlagartig ab dem 19. September; mittlerweile kommen pro Tag über 160 infizierte Dumaru-Mails an.
![Anriss [ 300 x 250 ]](/imgs/18/8/2/7/2/6/f6c554f392390848.jpg)
Es liegt nahe, einen Zusammenhang mit dem aktuellen Sicherheitsproblem des Internet Explorer zu vermuten. Seit dem 18. September demonstriert beispielsweise der c't-Browsercheck auf heise Security, dass selbst bei einem vollständig aktualisierten Internet Explorer eine Web-Seite ohne Nachfragen ein Programm aus dem Netz laden und ausführen kann. Diese Tatsache verunsichert offensichtlich viele IE-Anwender so, dass sie eher geneigt sind, einem Sicherheit versprechenden Wurm auf den Leim zu gehen.
Man kann daher immer nur aufs Neue betonen: Starten Sie niemals ausführbare Dateien, die Sie (unaufgefordert) per E-Mail zugesendet bekommen -- auch nicht, wenn die Absenderadresse vertrauenswürdig scheint. Absenderadressen von E-Mails lassen sich nahezu beliebig fälschen und kein verantwortungsbewusster Hersteller würde unaufgefordert solche Warnungen oder gar ausführbare Programme versenden.
Abgesehen davon gibt es bisher keinen Patch von Microsoft gegen die erwähnte Schwachstelle des Internet Explorer. Da sich die Schwachstelle zum Teil sogar bei abgeschaltetem ActiveX und JavaScript ausnutzen lässt, gibt es derzeit für Nutzer des Internet Explorer keinen zuverlässigen Schutz gegen dieses Sicherheitsloch. Manche Antiviren-Programme und Personal Firewalls warnen zwar beim Ausführen der Browsercheck-Demo. Doch verlassen sollte man sich darauf ebenfalls nicht, denn es ist bisher nicht klar, ob sich diese Programme nicht ebenfalls austricksen lassen.
Siehe dazu auch: (ju)
- Demonstration des Sicherheitslochs im Browsercheck auf heise Security
- Internet Explorer lädt und startet beliebige Programme
- Passwort-Klau durch Lücke im Internet Explorer
- Beschreibung des Dumaru-Wurms von Symantec und McAfee
