Thema: E-Mail-Wurm Nyxem auf dem Vormarsch

[SiLæncer]

Nach Angaben der Antiviren-Hersteller verbreitet sich der E-Mail-Wurm Nyxem mit rasender Geschwindigkeit. Seit Freitag ist die Variante Nyxem.E erfolgreich unterwegs – die Antivirenspezialisten sind aufgrund der großen Verbreitung in Sorge, dass die Löschroutinen des Virus am dritten Februar zuschlagen und großen Schaden anrichten. Der Wurm und seine Variationen sind auch unter den Namen W32.Blackmal.E@mm, Troj/KillAV.GR, W32/MyWife.d@MM und WORM_GREW.A bekannt. Eine CME-Nummer, die den Schädling eindeutig identifizieren würde, gibt es bisher noch nicht.

Der E-Mail-Wurm versendet sich über einen eingebauten SMTP-Server an E-Mail-Adressen, die er auf dem infizierten System vorfindet. Weiterhin versucht der Wurm, sich auf mit schwachen Passwörtern geschützte Netzwerkfreigaben unter dem Namen WINZIP_TMP.exe zu kopieren. Auch die populärsten Antivirenprodukte greift der Wurm an und will sie beenden. Eine Schadfunktion wird am Dritten eines jeden Monats aktiv und ersetzt unter anderem Dateien mit den Endungen DOC, XLS, MDB, MDE, PPT, PPS, ZIP, RAR, PDF, PSD und DMP mit dem Inhalt DATA Error [47 0F 94 93 F4 K5].

Wenn Nyxem ein neues System infiziert hat, nimmt er Kontakt zu einer Website auf, auf der ein Counter liegt, der die Zahl der Infektionen misst. Heute früh war US-amerikanischen Medien zufolge der Counter schon bei rund 540.000 infizierten Maschinen angelangt, jede Stunde kommen etwa 2.500 neue Opfer hinzu.

Symantec stellt ein kostenloses Entfernungs-Tool zur Verfügung, das einige Varianten des Wurmes beseitigen kann. Wer sich nicht sicher ist, ob er möglicherweise einen potenziell gefährlichen Mail-Anhang ausgeführt hat, sollte das Angebot nutzen und sein System nach dem Schädling durchsuchen. Alternativ kann Trend Micros sysclean mit aktuellem Patternfile das System bereinigen.

Danach sollte der Virenscanner neu aufgesetzt und aktualisiert werden, da der Wurm diesen außer Kraft gesetzt haben könnte. Weitere Tipps und Hinweise liefern auch die Antiviren-Seiten von heise Security.

Siehe dazu auch:

    * Entfernungs-Tool von Symantec
    * sysclean.com von Trend Micro
    * Benötigtes Patternfile von Trend Micro, muss in dasselbe Verzeichnis wie sysclean.com entpackt werden
    * Beschreibung des Wurmes vom BSI

Quelle und Links: http://www.heise.de/security/news/meldung/68660

[SiLæncer]

Der inzwischen auch als "Blackworm" bekannte Wurm "Nyxem.E" enthält eine ganze Reihe von Funktionen, über die erst nach und nach mehr bekannt wird. Der Blackworm breitet sich seit letzter Woche immer weiter aus. Glaubt man einem Zähler auf einer Website, den der Wurm bei jeder Neuinfektion hochsetzt, sind bereits über 700.000 Rechner infiziert worden.

Nach Angaben von Fortinet führt Blackworm umfangreiche Manipulationen an der Windows-Registry durch, um eine ActiveX-Komponente als digital signiert und sicher zu registrieren. Damit umgeht er Sicherheitseinstellungen von Windows, die eine Ausführung unsicherer ActiveX-Elemente verhindern sollen. Die ausführbare Blackworm-Komponente C:\winzip.exe trägt ein Winzip-Symbol. Wird der Wurm ausgeführt, zeigt er die Imitation eines leeren Winzip-Fensters an, in dem vorgeblich ein Archiv namens "update.zip" geöffnet ist.

Das Projekt Common Malware Enumeration hat dem Blackworm inzwischen die Bezeichnung "CME-24" zugewiesen. Die CME-Nummern sollen die Verwirrung um zum Teil sehr unterschiedliche Namen für ein und denselben Schädling verringern helfen . Die CME-Liste enthält inzwischen auch Links auf weiterführende Informationen zu den noch recht wenigen Schädlingen, die bislang erfasst sind.

Microsoft fügt unterdessen noch einen weiteren Namen für den Schädling hinzu und nennt ihn in Anlehnung an McAfee "Win32/Mywife.E@mm". Microsoft hat in seinem Virenlexikon eine Anleitung zur manuellen Entfernung des Wurms bereit gestellt. Symantec bietet ein kostenloses Programm zur Entfernung des Wurms an.

McAfee hat inzwischen die CME-Nummer in den Wurmnamen eingebaut und nennt ihn nunmehr W32/MyWife.d@MM!M24 . Das Internet Storm Center (ISC) hat eine Seite eingerichtet, auf der aktuelle Informationen und Links zum Blackworm gesammelt werden. In Medienberichten wird der Wurm wegen seiner Mail-Texte auch gerne als "Kama-Sutra-Wurm" bezeichnet.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/130493/index.html

[SiLæncer]

Am Freitag soll der Wurm Nyxem.e zuschlagen und diverse Office-Dokumente und Archivdateien auf befallenen Rechnern und von ihnen erreichbaren Netzwerkfreigaben irreparabel zerstören. Vor allem in Firmen scheint dieser Schädling ein Nest gefunden zu haben, legen zumindest die Statistiken der heise-Mailserver nahe: Am Wochenende treffen weniger Mails mit Nyxem im Anhang ein als an Wochentagen. Gerade dort kann er aber den größten (wirtschaftlichen) Schaden anrichten. Benutzer, die sich nicht hundertprozentig sicher sind, dass ihr Rechner sauber ist, sollten eines der unten aufgeführten Removal-Tools herunterladen und damit ihr System überprüfen.

Für Diskussionen sorgt der Web-Counter, den der Wurm nach erfolgreicher Infektion eines Systems kontaktiert. Der Zählstand von mittlerweile über zwei Millionen lässt auf eine weite Verbreitung schließen. SecuriTeam berichtet allerdings von Manipulationen, die unter Umständen der Wurmautor selbst durchgeführt haben könnte und schätzt, dass lediglich 300000 Systeme inifziert seien.

Generell sind sich die Sicherheitsdienstleister über die Anzahl und geographische Verteilung der Infektionen uneins. F-Secure beobachtete zunächst eine gleichmäßige weltweite Verteilung der Viren. Am 26. Januar ergab die Auswertung des Krisenstabes LURHQ Threat Intelligence Group eine weite Verbreitung in Indien, Peru, Italien, USA und Türkei – in Deutschland wurden bis dahin weniger als 2000 Infektionen erfasst.

Unabhängig von seiner tatsächlichen Verbreitung ist Nyxem seit längerer Zeit der erste Virus mit einer echten Schadroutinen. Der Programmierer des Wurmes scheint keine finanziellen Interessen zu verfolgen, sondern sucht vermutlich die öffentliche Aufmerksamkeit. Die ist ihm gewiss, da sogar Microsoft ein Security Advisory herausgegeben hat, in dem das Unternehmen vor dem Wurm warnt. Auch die Redmonder raten dazu, den Rechner mit aktuellen Signaturen für den Virenscanner auszustatten und ihn auf Befall zu untersuchen.

Auch bei diesem Schädling herrscht wieder das gewohnte Namens-Chaos. Die meisten AV-Hersteller bezeichnen ihn als Nyxem.E oder .D, Trend Micro spricht von Grew.A, im Microsoft-Advisory ist von Win32/Mywife.E@mm die Rede. Das Common-Malware-Enumeration-Projekt (CME) führt ihn unter CME-24 und listet auf einer Seite die Namen und Beschreibungen der einzelnen Hersteller auf.

Siehe dazu auch:

    * Beschreibung zu CME-24
    * Advisory zu Win32/Mywife.E@mm von Microsoft
    * Hintergrundinformationen und Entfernungsprogramm von F-Secure
    * Entfernungsprogramm von Symantec

Quelle und Links : http://www.heise.de/security/news/meldung/69006

[SiLæncer]

Microsoft veröffentlicht eine Sicherheitsempfehlung zu dem Wurm.

Der Nyxem-Wurm, auch "Blackworm" oder " CME-24 " genannt, löscht am dritten Tag jedes Monats verschiedene Dateien auf einem Windows-PC . Der Antivirus-Hersteller F-Secure meldet bereits erste Fälle, in denen Dateien überschrieben wurden. Offenbar ist bei den betroffenen Rechnern die Systemuhr nicht richtig gestellt und das Datum zeigt bereits in paar Tage in die Zukunft.

Microsoft reiht sich unter die Warner ein und hat eine Sicherheitsempfehlung zu dem von Microsoft als "Win32/Mywife.E@mm" bezeichneten Wurm veröffentlicht. Darin verweist Microsoft zum Schutz in erster Linie auf die noch in einer Testphase befindlichen Microsoft-Dienste "Windows Onecare Live Beta" und "Windows Live Safety Center Windows Live Safety Center Beta".

Eine ausführlichere Beschreibung des Wurms findet sich in der Microsoft Virus-Enzyklopädie. Eine aktualisierte Fassung des " Windows-Tool zum Entfernen bösartiger Software ", die auch diesen Wurm erkennt und beseitigt, wird es hingegen erst zum Patch Day am 14. Februar geben.

Die Zahl der Infektionen mit CME-24 ist bereits rückläufig, alle Antivirus-Programme erkennen ihn seit mehr als einer Woche. Nach Angaben von F-Secure sind vor allem Computer in Indien, Peru und der Türkei verstärkt betroffen. Kostenlose Programme zur Entfernung des Nyxem-Wurms gibt es zum Beispiel von Symantec , F-Secure und Bitdefender .

Quelle und Links : http://www.pcwelt.de/news/sicherheit/131032/index.html

[SiLæncer]

Wegen des Wurms Nyxem.e gab es in den letzten Wochen lautes Kettenrasseln in den Medien, aber passiert ist vergangenen Freitag doch wenig. Die Warnungen scheinen geholfen zu haben, sodass viele ihre Rechner überprüft und rechtzeitig bereinigt haben. Zur Schadensbegrenzung hat wohl auch beigetragen, dass Nyxem nur dann seine Schadroutinen aktiviert, wenn der Rechner am dritten Tag eines Monats gestartet wird. Offenbar lassen viele Menschen Freitags ihren Rechner aus oder permanent durchlaufen.

Der Antivirenhersteller F-Secure konnte bis jetzt etwa 5000 von Nyxem geschädigte Rechner in Indien ausmachen. In Europa und den USA scheinen nur vereinzelte infizierte Systeme betroffen zu sein.

Das Internet Storm Center trommelt unterdessen für forensische Datenrettungs-Tools, mit denen sich die defekten Dateien wiederherstellen lassen. Da Nyxem die Dateien jedoch nicht löscht, sondern mit einer Zeichenkette überschreibt, dürfte die Rettung der Dokumente und Archive für Normalbenutzer unmöglich sein. Experten wird mit einigem zeitlichen Aufwand und nur in manchen Fällen mit den Spezialwerkzeugen eine Datenrettung möglich sein.

Eine vollständige Entwarnung ist also noch nicht angesagt: Nyxem kann noch immer auf einigen Rechnern sein Unwesen treiben und das nächste Mal am dritten März zuschlagen, falls die Besitzer ihr System dann starten. Daher ist die Überprüfung des Rechners, insbesondere wenn er von mehreren Personen genutzt wird, mit einem der Entfernungsprogramme wie F-Secures F-Force oder Symantecs FixBMalE noch immer den Forensik-Tools vorzuziehen.

Quelle und Links : http://www.heise.de/security/news/meldung/69328