Neujahrswünsche mit Vireninhalt
In den frühen Morgenstunden hat eine neue Variante des Warezov-Trojaners innerhalb weniger Stunden über 30.000 infizierte E-Mails in Umlauf gebracht.
Das berichtet der österreichische Hersteller von Anti-Viren-Software, Ikarus.
Infizierte E-Mail-Anhänge
Win32.Tibs.jy verbreitet sich über infizierte E-Mail-Anhänge, beendet sicherheits- bzw. Anti-Virus-bezogene Prozesse sowie Services und lädt Dateien aus dem Internet herunter.
Zu erkennen ist der Wurm laut Ikarus einfach: Er tarnt sich als "Neujahrswunsch".
An Betreffzeile erkennbar
Die Betreffzeile lautet Happy New Year, in einigen Fällen aber auch
Delivery Status Notification (Failure)
Undelivered Mail Returned to Sender
Returned mail: see transcript for details
Mail delivery failed: returning message to sender.
Sicher zu erkennen ist er am Anhang namens "postcard.exe" oder "postcard.zip".
Der Wurm infiziert laut Ikarus alle Systeme mit Windows 95, Windows 98, Windows NT, Windows 2000, Windows ME, Windows XP und Windows Server 2003.
Spammer-Werkzeug
Der Wurm verfolgt das primäre Ziel, möglichst viele Rechner für den Versand von Spam zu infizieren.
Wird die Datei Postcard.exe auf einem Zielsystem gestartet, lädt der Wurm ein Modul nach, das es ihm ermöglicht, den infizierten PC als "Bot" in das Netzwerk des Spammers zu integrieren.
Weihnachtsrechner zerstören Bot-Netze?
Bisherige Warezov-Outbreaks waren von so genannten Klein-Serien charakterisiert, bei denen nur wenige Hunderte bis wenige Tausend infizierte E-Mails in Umlauf gebracht wurden.
Ein möglicher Grund für den jetzigen massiveren Ausbruch könnte laut Ikarus darin begründet liegen, dass mit Weihnachten viele veraltete PCs durch neue ersetzt wurden und somit auch viele Bots für die Spammer verloren gegangen sind.
Die zeitliche Abgrenzung der Attacke sowie das frühzeitige Erkennen der Attacke um 2.25 Uhr passierte über das österreichische Virenfrühwarnsystem CIRCA [Computer Incident Response Co-Ordination Austria].