News 27.09.2006, 16:45 Uhr

Es wurmt wieder im Netz

Im August und September machten Antivirushersteller auf einen Wurm aufmerksam, der in seinen zahlreichen Varianten meist als W32/Stration, Warezov oder Spamta erkannt wird - wenn überhaupt!
Der Schädlingstrend hat sich in den letzten ein bis zwei Jahren geändert. Statt grosse Wurm-Wellen loszutreten, konzentrierten sich die Virenschreiber mehr aufs Entwickeln trojanischer Pferde, die sie quasi manuell per Spam an die potentiellen Opfer verschickten. Diese Taktik erschwert den Antivirusherstellern die Arbeit. Es ist aufwändig, Erkennungsmuster gegen unzählige verschiedene Trojaner-Varianten zu entwickeln. Durch die relativ geringe Verbreitung der einzelnen Varianten steigt zudem die Gefahr, dass einige der Schädlingsvarianten über längere Zeit völlig unentdeckt bleiben.
Und doch ist eine andere, früher einmal so markante Schädlingsgattung noch längst nicht ausgestorben: Computerwürmer verbreiten sich von den infizierten PCs aus automatisch per E-Mail an alle Adressen, die sie auf den Festplatten ihrer Opfer finden. Dieses lawinenartige Verbreitungsmuster führt zwar einerseits zu mehr Infektionen in kürzerer Zeit, aber andererseits auch zu einer früheren Erkennung durch Antivirensoftware. Der Autor des nun entdeckten Stration-Wurms versucht offenbar diesem Umstand zu begegnen, indem er sehr viele verschiedene Varianten in Umlauf bringt.
Bei Symantec [1] findet man derzeit schon Hinweise auf rund 50 verschiedene Inkarnationen des erstmals im August entdeckten Schädlings. Auch Panda Software warnt vor dem Wurm, der beim spanischen Virenjäger den Namen "Spamta" trägt [2]. Kaspersky [3] und F-Secure haben diese Schädlingsfamilie Warezov getauft. Bei F-Secure finden Sie übrigens einige beispielhafte Screenshots [4] von Mails, in denen sich der Wurm verbreitet.
Die erwähnten Mails tragen stets eine gefälschte, frei erfundene Absenderadresse. Der Betreff versucht entweder mit "Good Day", "hello" oder "picture" eine persönliche Mail vorzugaukeln oder dann tarnt er sich unter Verwendung von Zeilen wie "Server Report" oder "Mail Delivery System" als technische Mail. Auch mit dem Mailinhalt selber will er dem Empfänger weismachen, mit einer Nachricht von ihm bzw. an ihn sei ein technisches Problem aufgetreten. Zum Beispiel mit diesem Text: "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment".
Der unerfahrene Benutzer versteht vom Ganzen meist nur das Wort "attachment", zu Deutsch Beilage oder Mailanhang. In diesem steckt natürlich keine legitime Nachricht, sondern die Wurmdatei. Ausserdem verwendet der Stration-Wurm hierbei den Trick der doppelten Endungen: Er nennt die beigelegten Dateien beispielsweise "message.txt.bat" oder "document.doc.exe", wohl wissend, dass Windows in der Standardeinstellung die echten Endungen nicht anzeigt. Dem Empfänger erscheint die Beilage dann nicht als gefährliche Programm- oder Scriptdatei, sondern nur als "document.doc", was eine Word-Datei zu sein scheint, die er als harmlos betrachtet.
Wenn der Anwender die Beilage unvorsichtigerweise ausführt, installiert sich der W32/Stration-Wurm auf seinem PC und blockiert den Zugang zu etlichen Antivirus-Webseiten. Um auf Nummer sicher zu gehen, versucht er auch die Prozesse von Webbrowsern wie Internet Explorer, Firefox und Opera abzuschiessen. Ausserdem lädt der Schädling weitere Dateien und Wurmvarianten herunter. Danach sucht er auf dem nun infizierten Computer nach Mailadressen, an die er sich dann automatisch weiterverbreitet.
Die Variantenvielfalt neuer Trojaner und Würmer macht eines deutlich: Auch wenn Sie eine täglich aktualisierte Antivirensoftware haben, dürfen Sie sich nie alleine auf deren Schutz verlassen. Üben Sie Vorsicht beim Surfen, Chatten und Mailen.


Kommentare

Es sind keine Kommentare vorhanden.