Sturm-Wurm fegt weiter durchs Netz
Nach Angaben eines Antivirus-Herstellers haben neue Varianten bekannter Malware-Mails teilweise mehr als die Hälfte der abgefangenen schädlichen Mails ausgemacht. Diese Mails werden weiterhin Spam-artig verbreitet.
Der spanische Antivirus-Hersteller Panda Software warnt vor neuen Wellen des Wurms "Nurech.A". Nach Angaben von Virenforschern der Panda Labs in deren Weblog machen verschiedene Varianten dieses Schädlings zeitweise bis zu 60 Prozent der bei Panda erhaltenen Mails aus. Bei der darin enthaltenen Malware handelt es sich um immer neue Varianten von Schädlingen, die als "Sturm-Wurm" bekannt geworden sind. Die ersten Mails dieser Art tauchten kurz nach dem Orkan "Kyrill" auf und lockten unter anderem mit vorgeblichen Meldungen zu diesem Thema im Betreff.
Charakteristisch für Mails dieses Typs sind derzeit vor allem Betreffzeilen, die mit typischen Themen aus Grußkarten-Mails daher kommen. Aktuelle Beispiele sind etwa "Evening Romance Doing It for You", "Window of Beauty" oder "Together You and I". Ein Text ist in den Mails nicht enthalten. Im Anhang befindet sich der Schädling mit Dateinamen wie "flash postcard.exe", "greeting card.exe", "greeting postcard.exe" oder "postcard.exe" und einer Größe von etwa 52 KB.
Wird diese Datei geöffnet, versucht der Schädling diverse Sicherheitsprogramme außer Gefecht zu setzen. Falls der Benutzer die nötigen Rechte hat, beendet Nurech.A laufende Prozesse, deren Namensbestandteile auf ein Antivirusprogramm oder eine Software-Firewall hinweisen. Außerdem verfügt der Schädling über Rootkit-Funktionen, mit denen er sich verstecken kann. Er nistet sich als "wincom32.sys" im System32-Verzeichnis von Windows ein.
Mit den meist Spam-artig verbreiteten Mails werden immer neue Varianten des Schädling verschickt, die mehrmals pro Stunde neu erzeugt werden. Damit soll die Erkennung durch Antivirus-Software unterlaufen werden, was jedoch derzeit nur bedingt erfolgreich ist. Einige Antivirus-Hersteller, darunter auch das Open-Source-Projekt Clam, haben generische Signaturen entwickelt, die auch die neuen Varianten recht zuverlässig erkennen.
Erkennung eines Exemplars durch Antivirus-Software:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Crypt.ULPM.Gen |
| Avast! | Win32:Tibs-AIE [Trj] |
| AVG | Downloader.Tibs |
| Bitdefender | Trojan.Peed.Gen |
| ClamAV | Trojan.Downloader.Tibs.Gen-1 |
| Command | W32/CodeCru-based!Maximus |
| Dr Web | --- |
| eSafe | Trojan/Worm [101] |
| eTrust-INO | --- |
| eTrust-VET | --- |
| Ewido | --- |
| F-Prot | W32/CodeCru-based!Maximus |
| F-Secure | Email-Worm.Win32.Zhelatin.r |
| Fortinet | W32/Tibs.KH!tr |
| Ikarus | Email-Worm.Win32.Zhelatin.r |
| Kaspersky | Email-Worm.Win32.Zhelatin.r |
| McAfee | --- |
| Microsoft | Win32/Vxidl.gen!B |
| Nod32 | Win32/Nuwar.gen |
| Norman | W32/Tibs.gen30 |
| Panda | Suspicious file (W32/Nurech.A.worm)* |
| QuickHeal | --- |
| Rising | Worm.Mail.Zhelatin.GEN |
| Sophos | Mal/HckPk-A |
| Symantec | --- (W32.Mixor.Q@mm)* |
| Trend Micro | --- |
| UNA | --- |
| VBA32 | --- |
| VirusBuster | Trojan.Tibs.Gen!Pac35 |
| WebWasher | Trojan.Crypt.ULPM.Gen |
| GData AVK ** | Email-Worm.Win32.Zhelatin.r |
Quelle: AV-Test, Stand: 07.02.2007, 3 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
