10304

Sturm-Wurm fegt weiter durchs Netz

07.02.2007 | 09:39 Uhr |

Nach Angaben eines Antivirus-Herstellers haben neue Varianten bekannter Malware-Mails teilweise mehr als die Hälfte der abgefangenen schädlichen Mails ausgemacht. Diese Mails werden weiterhin Spam-artig verbreitet.

Der spanische Antivirus-Hersteller Panda Software warnt vor neuen Wellen des Wurms "Nurech.A". Nach Angaben von Virenforschern der Panda Labs in deren Weblog machen verschiedene Varianten dieses Schädlings zeitweise bis zu 60 Prozent der bei Panda erhaltenen Mails aus. Bei der darin enthaltenen Malware handelt es sich um immer neue Varianten von Schädlingen, die als " Sturm-Wurm " bekannt geworden sind. Die ersten Mails dieser Art tauchten kurz nach dem Orkan "Kyrill" auf und lockten unter anderem mit vorgeblichen Meldungen zu diesem Thema im Betreff.

Charakteristisch für Mails dieses Typs sind derzeit vor allem Betreffzeilen, die mit typischen Themen aus Grußkarten-Mails daher kommen. Aktuelle Beispiele sind etwa "Evening Romance Doing It for You", "Window of Beauty" oder "Together You and I". Ein Text ist in den Mails nicht enthalten. Im Anhang befindet sich der Schädling mit Dateinamen wie "flash postcard.exe", "greeting card.exe", "greeting postcard.exe" oder "postcard.exe" und einer Größe von etwa 52 KB.

Wird diese Datei geöffnet, versucht der Schädling diverse Sicherheitsprogramme außer Gefecht zu setzen. Falls der Benutzer die nötigen Rechte hat, beendet Nurech.A laufende Prozesse, deren Namensbestandteile auf ein Antivirusprogramm oder eine Software-Firewall hinweisen. Außerdem verfügt der Schädling über Rootkit-Funktionen, mit denen er sich verstecken kann. Er nistet sich als "wincom32.sys" im System32-Verzeichnis von Windows ein.

Mit den meist Spam-artig verbreiteten Mails werden immer neue Varianten des Schädling verschickt, die mehrmals pro Stunde neu erzeugt werden. Damit soll die Erkennung durch Antivirus-Software unterlaufen werden, was jedoch derzeit nur bedingt erfolgreich ist. Einige Antivirus-Hersteller, darunter auch das Open-Source-Projekt Clam, haben generische Signaturen entwickelt, die auch die neuen Varianten recht zuverlässig erkennen.

Erkennung eines Exemplars durch Antivirus-Software:

Antivirus

Malware-Name

AntiVir

TR/Crypt.ULPM.Gen

Avast!

Win32:Tibs-AIE [Trj]

AVG

Downloader.Tibs

Bitdefender

Trojan.Peed.Gen

ClamAV

Trojan.Downloader.Tibs.Gen-1

Command

W32/CodeCru-based!Maximus

Dr Web

---

eSafe

Trojan/Worm [101]

eTrust-INO

---

eTrust-VET

---

Ewido

---

F-Prot

W32/CodeCru-based!Maximus

F-Secure

Email-Worm.Win32.Zhelatin.r

Fortinet

W32/Tibs.KH!tr

Ikarus

Email-Worm.Win32.Zhelatin.r

Kaspersky

Email-Worm.Win32.Zhelatin.r

McAfee

---

Microsoft

Win32/Vxidl.gen!B

Nod32

Win32/Nuwar.gen

Norman

W32/Tibs.gen30

Panda

Suspicious file (W32/Nurech.A.worm)*

QuickHeal

---

Rising

Worm.Mail.Zhelatin.GEN

Sophos

Mal/HckPk-A

Symantec

--- (W32.Mixor.Q@mm)*

Trend Micro

---

UNA

---

VBA32

---

VirusBuster

Trojan.Tibs.Gen!Pac35

WebWasher

Trojan.Crypt.ULPM.Gen

GData AVK **

Email-Worm.Win32.Zhelatin.r


Quelle: AV-Test , Stand: 07.02.2007, 3 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
10304