Nyxem-Wurm fälscht ActiveX-Signatur

Der inzwischen auch als "Blackworm" bekannte Wurm "Nyxem.E" enthält eine ganze Reihe von Funktionen, über die erst nach und nach mehr bekannt wird. Der Blackworm breitet sich seit letzter Woche immer weiter aus (wir berichteten). Glaubt man einem Zähler auf einer Website, den der Wurm bei jeder Neuinfektion hochsetzt, sind bereits über 700.000 Rechner infiziert worden.

Nach Angaben von Fortinet führt Blackworm umfangreiche Manipulationen an der Windows-Registry durch, um eine ActiveX-Komponente als digital signiert und sicher zu registrieren. Damit umgeht er Sicherheitseinstellungen von Windows, die eine Ausführung unsicherer ActiveX-Elemente verhindern sollen. Die ausführbare Blackworm-Komponente C:\winzip.exe trägt ein Winzip-Symbol. Wird der Wurm ausgeführt, zeigt er die Imitation eines leeren Winzip-Fensters an, in dem vorgeblich ein Archiv namens "update.zip" geöffnet ist.

Das Projekt Common Malware Enumeration hat dem Blackworm inzwischen die Bezeichnung "CME-24" zugewiesen. Die CME-Nummern sollen die Verwirrung um zum Teil sehr unterschiedliche Namen für ein und denselben Schädling verringern helfen (wir berichteten). Die CME-Liste enthält inzwischen auch Links auf weiterführende Informationen zu den noch recht wenigen Schädlingen, die bislang erfasst sind.

Microsoft fügt unterdessen noch einen weiteren Namen für den Schädling hinzu und nennt ihn in Anlehnung an McAfee "Win32/Mywife.E@mm". Microsoft hat in seinem Virenlexikon eine Anleitung zur manuellen Entfernung des Wurms bereit gestellt. Symantec bietet ein kostenloses Programm zur Entfernung des Wurms an.

McAfee hat inzwischen die CME-Nummer in den Wurmnamen eingebaut und nennt ihn nunmehr W32/MyWife.d@MM!M24. Das Internet Storm Center (ISC) hat eine Seite eingerichtet, auf der aktuelle Informationen und Links zum Blackworm gesammelt werden. In Medienberichten wird der Wurm wegen seiner Mail-Texte auch gerne als "Kama-Sutra-Wurm" bezeichnet.