News 02.03.2004, 09:00 Uhr

Es wurmt gewaltig

Antiviren-Hersteller melden gleich mehrere neue Varianten des Bagle-Wurms. Von Netsky sind ebenfalls weitere Nachfolger unterwegs. Als wären diese Plagen nicht genug, steigt seit Anfang Jahr auch die Zahl unerwünschter Werbenachrichten munter weiter.
Der Märzanfang steht ganz im Zeichen des Bagle-Wurms [1]. In den letzten Tagen sind sechs neue Varianten des Schädlings im Netz aufgetaucht. Davon schätzen Experten mehrere als bedrohlich ein. Besonders die Varianten C und E verbreiten sich mit rasanter Geschwindigkeit. Bagle ist ein so genannter Massenmailer-Wurm. Er versteckt sich in Nachrichtenanhängen. Um Anti-Viren-Programme zu überlisten, tarnen sich die jüngsten Varianten als geschützte Zip-Dateien. Dadurch werden sie teilweise von Anti-Viren-Software nicht erkannt. Ausserdem können sie sich nicht nur per Mail, sondern auch über Netzwerkordner verbreiten.
Wird Bagle aktiviert, öffnet er auf dem befallenen System eine Hintertür (Port 2745) und durchkämmt den Rechner nach E-Mail-Adressen. Dank eigener SMTP-Engine [2] versendet er sich auch gleich an diese. Zudem nistet er sich in der Windows-Registry [3] ein, damit er bei jedem Systemstart wieder aktiviert wird. Alle Varianten des Schädlings besitzen eine eingebaute Funktion, die den Wurm im Laufe des Monats deaktiviert und die Registry-Einträge löscht. Tipps zur Entfernung der Schädlinge finden sich auf den Seiten von Antiviren-Herstellern, so etwa bei Sophos [4] und Symantec [5].
Neben der Bagle-Invasion macht momentan auch ein weiterer bekannter Schädling vielen Anwendern zu schaffen. Seit gestern treiben zwei neue Varianten des Netsky-Wurms ihr Unwesen [6]. Wie ihre Vorgänger verbreiten sie sich per E-Mail-Anhang sowie über Tauschbörsen und Netzwerkordner. Damit Anwender die infizierten Mail-Attachments weniger misstrauisch beäugen, versteckt sich die Variante Netsky.D nicht hinter Dateiformaten wie EXE oder VBS, sondern verbirgt sich in PIF-Files (Program Information File). Diese enthalten normalerweise Informationen zu den Starteigenschaften von DOS-Dateien. Einmal aktiviert, sucht Netsky auf dem System nach E-Mail-Adressen, an die er sich selbst verschickt. Ausserdem enthält er eine Schadensroutine, die den PC jeden Dienstag im März um 6.00, 7.00 und 8.00 (Netsky.D) bzw. heute zwischen 6.00 und 9.00 Uhr (Netsky.E) piepsen lässt. Anders als Bagle deaktiviert sich der Schädling nicht selbst. Auch für diesen Wurm bieten Antiviren-Hersteller Tipps zur Entfernung.
Die momentane Virenepidemie erweckt den Eindruck, dass die Menge der Schädlinge dieses Jahr stark zugenommen hat. Dem ist aber laut Gernot Hacker, Technical Support Manager bei Sophos, nicht so. Die Zahl der Viren entspreche etwa dem Vorjahr. Gernot Hacker rechnet aber damit, dass dieses Jahr so genannte Blended Threats weiter ansteigen. Diese "Gemischten Bedrohungen" greifen sowohl PCs und Server als auch die Netzwerkinfrastruktur an. Sie nutzen dafür eine Kombination verschiedener böswilliger Programmcodes. Andererseits scheint es laut Gernot Hacker auch so, dass Spammer und Virenschreiber vermehrt zusammenarbeiten. Dabei werden Hintertüren auf infizierten Computern missbraucht, um Massenmails zu verschicken. Erst kürzlich gelang es dem renommierten IT-Magazin c’t nachzuweisen, dass diese Praxis wirklich üblich ist [7]. Die Folge: Durch die unheilvolle Allianz wird die Spam-Problematik weiter verschärft.
Ein Blick auf die Statistiken der Anti-Spam-Firma Brightmail lässt jedenfalls nichts Gutes erahnen [8]. Seit Anfang Jahr ist der Anteil an unerwünschten Werbemails auf 62 Prozent gestiegen. Im März des Vorjahrs lag er noch bei 45 Prozent. Dabei stammt der weitaus grösste Teil der Massenmails aus den USA, wie eine neuere Untersuchung von Sophos zeigt. Aus den Staaten kommt rund 56,74 Prozent allen Spams. Den zweiten und dritten Platz nehmen weit abgeschlagen Kanada (6,80 Prozent) und China (6,24 Prozent) ein.


Kommentare

Es sind keine Kommentare vorhanden.