Neuer Wurm tarnt sich als Fehlermeldung
Ein neuer Mail-Wurm verbreitet sich nach Angaben von Anti-Viren-Spezialisten derzeit flott im Internet.
Der von den Herstellern von Anti-Viren-Software als "Mydoom" oder "Novarg" bezeichnete Wurm verstopft die Netzwerke und öffnet Angreifern möglicherweise eine Hintertür auf den befallenen Rechnern.
Wird der Anhang zu einer harmlos aussehenden E-Mail geöffnet, dann startet ein Programm, das in 30 Sekunden rund 100 E-Mails an Adressen im E-Mail-Verzeichnis versendet. Betroffen sind die Windows-Betriebssysteme von Microsoft.
Angriff seit Montagnachmittag
Der Angriff begann am Montagnachmittag, wie Vincent Gullotto von Networks Associates sagte. Er habe sich dann schnell global ausgeweitet. Die Anti-Viren-Firma Symantec erklärte zunächst, der Wurm scheine auch die Tastatureingaben zu protokollieren. Mittlerweile aber hat Symantec diese Angaben zurückgezogen.
SymantecWurm gibt sich technisch
Im Gegensatz zu früheren Viren werbe das Schadprogramm nicht mit Bildern von Stars oder Nacktfotos, sondern gebe sich ganz technisch, sagt Steve Trilling von Symantec. "Diese Nachricht enthält Unicode-Zeichen und wurde als binärer Anhang verschickt", heißt es in der E-Mail.
Ein Microsoft-Sprecher erklärte, der Wurm scheine keine Sicherheitslücke auszunutzen, sondern werde allein von den Nutzern weiterverbreitet. Für das E-Mail-Programm Outlook von Microsoft gibt es einen Patch, der die Nutzer generell vor dem Öffnen unbekannter Anhänge warnt.
In Österreich hat der Virenspezialist Ikarus seit Montagfrüh mehrere tausend befallene Mails registriert. "Dadurch, dass der Wurm sich gleich an hundert Adressen verschickt und sich der Mailinhalt realistisch darbietet, hat er eine enorme Verbreitung erfahren", bestätigt Joe Pichlmayr, Chef von Ikarus, im Gespräch mit der futurezone.
Angriff auf SCO
Wie eine Analyse des Codes durch Ikarus ergab, startet der Wurm von 1. bis 12. Februar eine so genannte DDOS-Attacke gegen die Domain sco.com. SCO ist in den vergangenen Monaten in die Schlagzeilen geraten, da das Unternehmen behauptet, in Linux befände sich unlizenzierter Unix-Code - ein Vorwurf, der unter Linux-Entwicklern weltweit für Entrüstung gesorgt hat.
IkarusFernzugriff auf befallene Rechner
"Darüber hinaus macht der Wurm zwei Ports auf, die dazu dienen, dem Virenschreiber Zugriff auf den befallenen Rechner zu gewähren", so Pichlmayr weiter. "Der Wurm speichert weiters Passworteingaben und dergleichen, die dann ebenfalls dem Virenschreiber zur Verfügung stehen."
Er hält den Wurm für eine Art Testvirus, der neue Schadens- und Verbreitungsroutinen testen soll. Offensichtlich stammt der Wurm nicht aus einem der beiden Virenschreiberkreise, die den verwandten Wurm "Mimail" programmiert haben.