Kaspersky warnt vor I-Update-Wurm
Antivirenhersteller Kaspersky Labs warnt vor einem neuen Internet-Wurm namens "I-Worm.Updater".
Verbreitet über Microsoft-Outlook versucht der Wurm Kopien aller EXE, DOC und VBS-Dateien anzulegen, die dann den Wurm-Code enthalten.
Der Wurm selbst ist laut Kaspersky in VBS geschrieben und steckt - ähnlich wie Gone-A - in einer UPX-komprimierten 12 KByte großen EXE-Datei. Damit Benutzer die Datei ausführen, verspricht die englischsprachige Mail wahlweise Porno-Bilder, Programme, Patches, Dokumente und unter anderem auch einen Bank-Account.
Den Betreff der Mail setzt I-Updater als Täuschungsmanöver zufällig aus vorgefertigten Formulierungen modular zusammen. Gewählt wird aus vier Sektionen: Sektion 1 enthält die Formulierungen: "Have you ", "You Should", "Just", "Why Not you", "How to", "Re:", "Fwd". Aus Sektion 2 kann der Zufallsgenerator unter diesen Begriffen wählen: "Check ", "Check out", "Watch out", "Open", "Look at" Sektion 3 beinhaltet: "this ", "my ", "For this ", "The " Sektion 4 besteht aus: "Picture", "Program", "Patch", "Nude pic", "Report", "Document", "Quotation", "Transaction", "Bank Account", "WTC Tragedy", "Osama Vs Bush", "Account", "Private Pic".
Wurm "W32.Gone" mit rascher VerbreitungNicht öffnen
Im Anhang findet sich eine EXE-Datei. Kaspersky nennt folgende Möglichkeiten: "Setup.EXE", "install.exe", "Readme.exe", "Files.exe", "Picture.exe", "Quotation.Doc.exe", "Letter.Doc.exe", "Picture.jpg.exe".
Einmal unvorsichtig ausgeführt erzeugt der Wurm das Skript UPDATE.VBS, kopiert es in den Windows Autostart-Ordner und führt es aus. I-Update sucht dann alle EXE, DOC und VBS-Dateien und erzeugt Kopien mit der angehängten Datei-Endung VBS, die den Code des Wurms enthalten, zum Beispiel MPPLAYER.EXE.VBS.
Wenn Kaspersky Labs den Alarm nicht allein ausgelöst hat, um die derzeitige Virenhysterie für Werbezwecke zu nutzen, gibt das Solo sicher böses Blut in der Branche. Üblicherweise informieren die Hersteller sich gegenseitig über die Entdeckung neuer Viren.
Kaspersky Labs