24.07.2001, 15:57 Uhr
W32/Sircam-A
Am 16. Oktober muss jede 20. infizierte Festplatte dran glauben
W32/Sircam-A ist ein in der Programmiersprache Delphi programmierter Wurm, der vor etwa einem Monat in Russland auftauchte. Im Laufe der letzten Tage hat er sich allerdings rund um den Globus ausgebreitet und mittlerweile PCs auf allen Kontinenten befallen. Der Wurm verursacht mit seiner eigenen SMTP-Routine eine Mail-Lawine, verschickt Dateien des infizierten Rechners und besitzt eine Routine zum Löschen der Festplatte.
| Genaue Bezeichnung | W32/Sircam-A |
| Aliasnamen | W32.Sircam.Worm@mm, W32/SirCam@mm, Backdoor.SirCam |
| Typ | Wurm |
| Erstes Auftreten | Juni 2001 |
| Verbreitung | Mittlerweile stark. Der Wurm wurde vor etwa einem Monat in Russland entdeckt. Danach folgten die meisten Infektionen in Süd- und Zentralamerika. Am Wochenende stieg die Infektionsrate enorm an und mittlerweile wurde auch Australien erreicht. Viele Antivirus-Experten veranschlagen jetzt das Risiko, das von diesem Wurm ausgeht, als hoch. Symantec erreichten über 2000 Meldungen weltweit. |
| Wirkung/Schaden | Nach dem Öffnen des Mailanhangs kopiert sich der Wurm unter den Namen scam32.exe in das Windows-System-Verzeichnis. Zudem legt der Wurm Kopien von sich unter der Bezeichnung sirc32.exe im Windows-Papierkorb ab.
Außerdem trägt sich der Wurm in die Registry ein, so dass der Schädling bei jedem Systemstart aktiviert wird. Durch einen weiteren Eintrag in der Registry erreicht der Wurm, dass er vor jeder anderen ausführbaren Datei gestartet wird.
Der Wurm verschickt sich an alle Mail-Einträge im Windows-Adressbuch und an Adressen, die er im temporären Internet-Ordner findet findet. Dazu schnappt er sich eine zufällig ausgewählte Datei - bevorzugt aus dem Verzeichnis "Eigene Dateien" - von der Festplatte des infizierten PCs und verschickt diese per Mail mit seiner eigenen SMTP-Routine, die er mit sich führt. Dadurch können vertrauliche Informationen an die Öffentlichkeit geraten. Der Wurm verursacht so eine regelrechte Maillawine, wie die Erfahrung der letzten Tage zeigt.
Die von SirCam verbreitete Mail trägt eine zufällig generierte Betreffzeile, die identisch ist mit dem Namen der angehängten Datei. Der Dateiname hat eine doppelte Erweiterung (zum Beispiel .doc.com oder .mpg.pif), deren letztere eine der Folgenden ist: COM, EXE, BAT, PIF, LNK.
Außerdem sucht der Wurm nach gemeinsam genutzten Internet-Ressourcen, also zum Beispiel Netzlaufwerken. Unter dem Namen rundll32.exe versucht er sich in das Windows-Verzeichnis der angeschlossenen Rechner zu kopieren.
Besonders tückisch: Der Wurm versucht am 16. Oktober alle Dateien auf der Festplatte zu zerstören. Die Chancen dazu sollen 1:20 stehen, wie Sophos meldet. |
| Infektionsweg | Kommt als Mailanhang. Gefährdet sind Computer mit Windows 95/98/Me und Windows NT/2000, die am Netz hängen. Eventuell droht auch für auch Macintosh-Anwender Gefahr, die einen PC-Emulator betreiben. |
| Besonderheiten | Die Mails, die der Wurm verschickt, können in Englisch oder in Spanisch verfasst sein, abhängig vom eingesetzten System.
Die erste Zeile in Englisch lautet immer: "Hi! How are you?" (spanisch: "Hola como estas?"). Danach kommt einer der folgenden vier Sätze: "I send you this file in order to have your advice", oder "I hope you like the file that I sendo you", oder "I hope you can help me with this file that I send", oder "This is the file with the information you ask for". Der letzte Satz lautet immer: "See you later. Thanks". |
| Was Sie tun können | Alle gängigen Virenscanner haben bereits ihre Virensignaturen aktualisiert. Außerdem gilt für diesen Wurm wie für alle Gefahren aus dem Internet: Nie auf unbekannte Dateianhänge klicken, besonders dann nicht, wenn sie in fremden Sprachen verfasst sind. |
| Weitere Infos |
