Kaspersky Lab, eine internationale Softwareschmiede im Bereich Datensicherheit, warnt vor einem neuen polymorphen Internet-Wurm namens 'Cuerpo'. Es wurden schon einige Infektionen gemeldet.

Mit der integrierten Anti-Skriptviren-Technologie 'Script Checker' vereitelt Kaspersky Anti-Virus(tm) die 'Cuerpo'-Angriffe ohne zusätzliche Aktualisierung der Antiviren-Datenbank.

'Cuerpo' infiziert ausschließlich Rechner, die unter Windows 95/98/ME mit installiertem Internet Explorer 5.0 laufen. Der Wurm befällt einen Computer via eMail. Die infizierten eMails weisen keine spezifischen Merkmale auf, das heißt, der Wurm kann sich in jeder belieben Nachricht verbergen (Subjekt, der Name der angehängten Datei, der Body). Außerdem verfügt der Programm-Code von 'Cuervo' über polymorphe Eigenschaften und hat ebenfalls keine ständige Form.

Der Malware-Code befindet sich in zwei verschiedenen Teilen der infizierten Meldung gleichzeitig: In der unsichtbaren Signatur (als HTML-Skript) und im Anhang. Die beiden Wurm-Varianten nutzen die bekannte Lücke im Sicherheitssystem des Internet Explorers (Scriptlet.TypeLib). Falls auf dem Computer kein 'Patch' dagegen installiert wurde, dringt die erste Variante des 'Cuerpo' sofort beim Öffnen der eMail in den Rechner ein. Diese Methode wurde schon früher von 'KakWorm' und 'BubbleBoy' sowie einigen anderen genutzt. Die zweite Variante wird nur dann aktiv, wenn der User die angehängte Datei öffnet.

Wird der Wurm gestartet, beginnt er weiter ins System vorzudringen und sich zu verbreiten. Das Hauptmerkmal des 'Cuerpo' ist, dass er zwei Verbreitungs-Methoden benutzt. Zum einen verschafft er sich, wie auch andere Internet-Würmer, Zugang zum eMail-Programm Outlook und versendet sich selbst per eMail. Zum anderen durchsucht er Laufwerke nach Mail-Datenbanken, sammelt gefundene eMail-Adressen und schickt sie mit einer einfachen HTTP-Anfrage zur entfernten Web-Seite. Dort wird die Meldung automatisch verarbeitet, und eine Kopie des 'Cuerpo' an alle gefundenen Adressen gesandt. Neben anderen schädlichen Auswirkungen löscht der Virus zudem den Inhalt der Internet Explorer-Startseite. Nach vier Tagen wird dann die Startadresse in http://www.freedonation.com geändert.

Nähere Informationen zum 'Cuerpo'-Wurm finden Sie im Kaspersky Viren-Lexikon.

Sie können den 'Patch' für das Sicherheitssystem des Internet Explorers von der Microsoft-Seite herunterladen.