Neuer Schädling verursacht Epidemie

Kaspersky Lab, eine internationale Software-Schmiede im Bereich Daten-Sicherheit, warnt User vor einem neuen Internet-Wurm namens 'I-Worm.Updater'. Es wurden bereits mehrere Infektionsfälle durch diesen Schädling gemeldet.

'Updater' ist eine EXE-Datei, in Visual Basic geschrieben, hat eine Größe von circa 12Kb und wurde mit dem Komprimierungsprogramm UPX gepackt.

Der Wurm verbreitet sich via eMail. Um dies zu realisieren, verschafft sich der Wurm Zugriff auf das Outlook-Adressbuch und sendet an alle vorhandenen Adressen infizierte eMails, ohne dass der Benutzer dies bemerkt.

Einige eMail-Teile haben keine konstanten Merkmale.

Der Betreff setzt sich zufallsgesteuert aus vier Kategorien von Satzfragmenten zusammen:

Teil 1:
"Have you ", "You Should ", "Just ", "Why Not you ", "How to ", "Re: ", "Fwd : ", " "
Teil 2: "Check ", "Check out ", "Watch out ", "Open ", "Look at "
Teil 3: "this ", "my ", "For this ", "The "
Teil 4: "Picture", "Program", "Patch", "Nude pic", "Report", "Documment", "Quotation", "Transaction", "Bank Account", "WTC Tragedy", "Osama Vs Bush", "Account", "Private Pic"

Daraus entstehen Betreffszeilen nach folgendem Muster:

Betreff: "You should check out this nude pic"
Body:
Hi:
This is the file you ask for, Please save it to disk and open this file, it's very important.

Die angehängte Trägerdatei kann folgende Namen haben: "Setup.EXE", "install.exe", "Readme.exe", "Files.exe", "Picture.exe", "Quotation.Doc.exe", "Letter.Doc.exe", "Picture.jpg.exe"

"Updater" hat eine unangenehme Nebenwirkung. Er schafft das schädliche Skript-Programm UPDATE.VBS, speichert es im Windows Autostart-Verzeichnis und startet sein Ausführen. Dieses Programm sucht auf dem Laufwerk nach Dateien mit Endungen .EXE, .DOC und .TXT und schafft für sie Ñompanion-Dateien, die eine Wurm-Kopie umfassen. Diese Companion-Dateien haben dieselben Namen, wie auch die ursprünglichen plus die zusätzliche Endung .VBS.

Zum Beispiel:

MPLAYER.EXE.vbs
REPORT.DOC.vbs

Die Schutzmaßnahmen gegen 'Updater' wurden bereits den Kaspersky Antiviren-Datenbanken hinzugefügt.

Eine nähere Beschreibung des Wurms finden Sie hier.