07.02.2007, 09:39 Uhr
Sturm-Wurm fegt weiter durchs Netz
Nach Angaben eines Antivirus-Herstellers haben neue Varianten bekannter Malware-Mails teilweise mehr als die Hälfte der abgefangenen schädlichen Mails ausgemacht. Diese Mails werden weiterhin Spam-artig verbreitet.
Charakteristisch für Mails dieses Typs sind derzeit vor allem Betreffzeilen, die mit typischen Themen aus Grußkarten-Mails daher kommen. Aktuelle Beispiele sind etwa "Evening Romance Doing It for You", "Window of Beauty" oder "Together You and I". Ein Text ist in den Mails nicht enthalten. Im Anhang befindet sich der Schädling mit Dateinamen wie "flash postcard.exe", "greeting card.exe", "greeting postcard.exe" oder "postcard.exe" und einer Größe von etwa 52 KB.
Wird diese Datei geöffnet, versucht der Schädling diverse Sicherheitsprogramme außer Gefecht zu setzen. Falls der Benutzer die nötigen Rechte hat, beendet Nurech.A laufende Prozesse, deren Namensbestandteile auf ein Antivirusprogramm oder eine Software-Firewall hinweisen. Außerdem verfügt der Schädling über Rootkit-Funktionen, mit denen er sich verstecken kann. Er nistet sich als "wincom32.sys" im System32-Verzeichnis von Windows ein.
Mit den meist Spam-artig verbreiteten Mails werden immer neue Varianten des Schädling verschickt, die mehrmals pro Stunde neu erzeugt werden. Damit soll die Erkennung durch Antivirus-Software unterlaufen werden, was jedoch derzeit nur bedingt erfolgreich ist. Einige Antivirus-Hersteller, darunter auch das Open-Source-Projekt Clam, haben generische Signaturen entwickelt, die auch die neuen Varianten recht zuverlässig erkennen.
Erkennung eines Exemplars durch Antivirus-Software:
| Antivirus | Malware-Name |
| AntiVir | TR/Crypt.ULPM.Gen |
| Avast! | Win32:Tibs-AIE [Trj] |
| AVG | Downloader.Tibs |
| Bitdefender | Trojan.Peed.Gen |
| ClamAV | Trojan.Downloader.Tibs.Gen-1 |
| Command | W32/CodeCru-based!Maximus |
| Dr Web | --- |
| eSafe | Trojan/Worm [101] |
| eTrust-INO | --- |
| eTrust-VET | --- |
| Ewido | --- |
| F-Prot | W32/CodeCru-based!Maximus |
| F-Secure | Email-Worm.Win32.Zhelatin.r |
| Fortinet | W32/Tibs.KH!tr |
| Ikarus | Email-Worm.Win32.Zhelatin.r |
| Kaspersky | Email-Worm.Win32.Zhelatin.r |
| McAfee | --- |
| Microsoft | Win32/Vxidl.gen!B |
| Nod32 | Win32/Nuwar.gen |
| Norman | W32/Tibs.gen30 |
| Panda | Suspicious file (W32/Nurech.A.worm)* |
| QuickHeal | --- |
| Rising | Worm.Mail.Zhelatin.GEN |
| Sophos | Mal/HckPk-A |
| Symantec | --- (W32.Mixor.Q@mm)* |
| Trend Micro | --- |
| UNA | --- |
| VBA32 | --- |
| VirusBuster | Trojan.Tibs.Gen!Pac35 |
| WebWasher | Trojan.Crypt.ULPM.Gen |
| GData AVK ** | Email-Worm.Win32.Zhelatin.r |
Quelle: AV-Test, Stand: 07.02.2007, 3 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
Marktplatz
für 15,29 € + 7,95€ Versand bei: Printus24.de
für 0,49 € + 3,00€ Versand bei: Amazon Marketplace
für 210,99 € + 0,00€ Versand bei: Amazon.de
für 9,99 € + 3,00€ Versand bei: Amazon Marketplace
