576300

Zu viel Aufregung um einen Mail-Wurm

14.09.2010 | 15:41 Uhr |

Ein mit Spam-artigen Mails in Umlauf gebrachter Schädling hat Ende letzter Woche für Schlagzeilen gesorgt. Doch in Europa ist er kaum gesichtet worden.

Klassische Mail-Würmer, die noch vor einigen Jahren das Bild von Internet-Malware geprägt haben, sind heute eher selten zu finden. So ist ein auch als "VBMania" bezeichneter Schädling auf reges Interesse gestoßen, da er sich an Mail-Adressen aus dem lokalen Adressbuch verbreitet. Doch zumindest für Europa war die ganze Aufregung eher unnötig.

Ausgangspunkt der bereits seit zwei Monaten in verschiedenen Varianten laufende Malware-Kampagne sind Spam-artige verschickte Mails. Sie kommen mit einem Betreff wie "Here you have" oder "Just For you". Sie enthalten einen Link, der scheinbar auf ein PDF-Dokument oder ein WMV-Video zeigt. Tatsächlich handelt es sich nach Angaben von Craig Schmugar im McAfee Avert Blog um eine ausführbare SCR-Datei. Der darin enthaltene Schädling versucht sich nach Aufruf im Netzwerk weiter auszubreiten, sowohl per Mail als auch über Freigaben und USB-Medien ( per autorun.inf ).

Die Web-Adresse, auf die der Link in den Mails verweist, ist bereits am Freitagmorgen deutscher Zeit nicht mehr erreichbar gewesen. Dadurch ist es in Europa kaum zu Infektionen gekommen, obwohl die Mails auch bei deutschen Unternehmen gesichtet worden sind. In den USA sind hingegen einige große und mutmaßlich etliche kleinere Unternehmen betroffen. Da sind die Mails am Donnerstag dortiger Zeit aufgeschlagen, als der Link noch gültig war und viele Menschen an ihrem Arbeitsplatz waren.

Einmal im Netzwerk, breitet sich der Schädling weiter aus, auch wenn der ursprüngliche Link nicht mehr erreichbar ist. Er versucht weitere Dateien aus dem Internet zu laden, deren Web-Adressen jedoch auch nicht mehr existieren. Die meisten Antivirusprogramme erkennen den Schädling inzwischen. Er wird zum Teil als "VBMania", "Autorun" oder "Visal" erkannt.

Hinter der seit Mitte Juli mit wechselnden Betreffzeilen und Links laufenden Kampagne vermuten einige Sicherheitsforscher eine Gruppe islamistischer Cyber-Terroristen, wie etwa Sean-Paul Correll im Blog der PandaLabs berichtet. Es ist anzunehmen, dass die Kampagne mit neuen Mails fortgesetzt wird.

0 Kommentare zu diesem Artikel
576300