Thema: Neuer E-Mail-Wurm unterwegs

[SiLæncer]

Das gabs schon länger nicht mehr: Die AV-Hersteller warnen vor einem E-Mail-Wurm, der sich derzeit schnell im Internet verbreiten soll. Die Mail ("Here you have") enthält einen Link mit dem Versprechen zu einem Sex-Video ("This is The Free Dowload Sex Movies,you can find it Here") oder zu einem angekündigten Dokument zu führen ("This is The Document I told you about,you can find it Here").

Die Links geben zwar vor, eine PDF- oder eine WMV-Datei herunterzuladen, beim Klick darauf landet dann aber eine ausführbare Datei mit der Endung .scr auf dem Rechner. Ein Doppelklick darauf installiert dann den Wurm VBMania /MEYLME.B, der eine Mail mit einem Link an alle auf dem PC gefundenen Adressen weiterversendet. Er lädt laut Analysen von Trend Micro zudem eine Backdoor nach und versucht diverse Anivirenscanner zu deaktivieren und anschließend zu löschen. Die AV-Hersteller haben bereits Signaturen verteilt, mit denen die Scanner den Schädling erkennen und blockieren können.

In letzter Zeit hatten die Virenautoren eher versucht, ihre Schädlinge über Lücken in Browsern und Plug-ins zu verteilen. Weil eine Bedrohung per E-Mail mittlerweile etwas aus dem Fokus geraten ist, könnte der Infektionsversuch vielleicht in größerem Umfang funktionieren. Möglicherweise wird es für die Virenautoren auch wieder schwieriger, ihre Malware über Lücken zu verteilen, weil diese sich immer schwerer ausnutzen lassen. Darauf hatten zuletzt Sicherheitsspezialisten wie Charlie Miller und Zino Dai Zovie hingewiesen . Der gestern gemeldete PDF-Exploit ist indes in der Lage, besondere Schutzmechanismen auszuhebeln.

Quelle : www.heise.de

[SiLæncer]

Ein Wurm mit dem Spitznamen "Here you have" treibt derzeit im Internet massiv sein Unwesen. Nun sieht es so aus, als sei der Urheber des Schädlings bekannt. Offenbar handelt es sich bei "Here you have" um ein Propaganda-Werkzeug, das USA-feindliche Positionen voranbringen soll. Destruktive Absichten hat der Urheber, der unter dem Pseudonym "Iraq Resistance" auftritt, nach eigenen Angaben nicht.

Der "Here you have"-Wurm ("W32/VBMania@MM") verbreitet sich primär über E-Mails, die Links auf infizierte PDFs enthalten. Alternative Verbreitungswege sind USB-Datenträger und Remote-Verbindungen. Unter den Opfern des Wurms waren bisher mehrere Behörden und Großunternehmen, darunter Disney, Procter and Gamble, Wells Fargo und die NASA.

Mit seinem "Bekennerschreiben" reagierte "Iraq Resistance" auf Anfragen, die Journalisten an eine mit "Here you have" in Verbindung gebrachte E-Mail-Adresse geschickt hatten. Auf diesem Wege teilte er mit, er habe den Wurm kreiert, um "möglichst viele Menschen [...] zu erreichen". Primär geht es ihm offenbar um Kritik am US-Militäreinsatz im Irak. Dies geht sowohl aus der E-Mail als auch aus einem von "Iraq Resistance" am Wochenende ins Internet gestellten Video hervor.

Daran, den Infizierten zu schaden oder ihre Rechner zu übernehmen, hat "Iraq Resistance" nach eigenen Angaben kein Interesse. "Ich könnte alle Infizierten zerschmettern, aber ich würde es nicht tun," schrieb er.

Sicherheitsexperten bemerken, dass trotz der angeblich rein ideologischen Absichten durchaus einige bösartige Komponenten wie Passwort-Logger und eine Backdoor im Wurm enthalten sind. Diese sind allerdings technisch nicht besonders anspruchsvoll und konnten durch Deaktivierung der zur Kommunikation benutzten Server ohne größere Probleme ausgeschaltet werden.

Einige Sicherheitsforscher vermuten, dass "Iraq Resistance" mit seinem Wurm Anhänger für eine islamistische "Cyber-Dschihad"-Gruppe namens "Brigaden von Tariq ibn Ziyad" werben will. Dabei handelt es sich bislang allerdings um reine Mutmaßungen.

Seine Identität hielt "Iraq Resistance" konsequent geheim. Er begründete dies mit Sorgen um seine Sicherheit.

Quelle: www.gulli.com