Destruktiver Wurm löscht am Freitag Dateien

Hunderttausende Windows-Rechner infiziert

Sicherheitsexperten sehen Freitag, dem 3. Februar, mit Sorge entgegen. An diesem Tag soll der sich seit Wochen verbreitende, Nyxem, Blackmal, Kama Sutra oder Mywife genannte Internetwurm^[1] erstmals aktiv werden. Auf infizierten Systemen wird der außergewöhnlich destruktive Schädling versuchen, vor allem Word-, Excel-, Access- und Powerpoint-Dateien zu löschen - doch auch ZIP- und RAR-Archive, Photoshop-Grafiken und PDF-Dokumente stehen auf der Abschussliste.

Kaspersky Lab^[2] schätzt die Zahl der inzwischen verseuchten Computer auf einige Hunderttausend ein, Tendenz steigend. Auch Microsoft sieht sich dazu veranlasst, in einer aktuellen Warnung^[3] auf die von dem Wurm ausgehenden Gefahr für Windows-Anwender hinzuweisen.

Der Wurm besteht aus einer an eine E-Mail angehängten, ausführbaren Windows-Datei mit einer Größe von 95 KByte. Der Betreff der Nachricht wird willkürlich aus einer von dem Virenautoren erstellten Vorlage gewählt. Der Text der E-Mail und die Bezeichnung der angehängten Datei existieren in etwa 20 unterschiedlichen Versionen, wodurch dem Anwender das Erkennen des Wurms erschwert wird.

Die E-Mails versprechen unter anderem den kostenlosen Zugriff auf pornografisches Material. Der weitere Versand erfolgt über das E-Mail-Adressbuch des Opfers beziehungsweise über verfügbare Netzwerkressourcen.

Windows-Rechner mit aktuellem Virenschutz dürften von dem digitalen Übeltäter unberührt bleiben. Anwender ohne Antivirensoftware sollten schnellstmöglich eines der empfohlenen Programme^[4] installieren oder das System mit einem der unten aufgeführten speziellen Removal-Tools einer Prüfung unterziehen:

• Bitdefender Win32.Nyxem.E@mm Removal-Tool^[5]
• F-Secure Nyxem.E Removal-Tool^[6]
• Symantec W32.Blackmal@mm Removal-Tool^[7]

Merkmale des Nyxem-/Blackmal-/Kama-Sutra-/Mywife-Wurms:

Betreffzeile der E-Mail:

• *Hot Movie*
• A Great Video
• Arab sex DSC-00465.jpg
• eBook.pdf
• Fuckin Kama Sutra pics
• Fw:
• Fw: DSC-00465.jpg
• Fw: Funny :)
• Fw: Picturs
• Fw: Real show
• Fw: SeX.mpg
• Fw: Sexy
• Fwd: Crazy illegal Sex!
• Fwd: image.jpg
• Fwd: Photo
• give me a kiss
• Miss Lebanon 2006
• My photos
• Part 1 of 6 Video clipe
• Photos
• Re:
• Re: Sex Video
• School girl fantasies gone bad
• The Best Videoclip Ever
• You Must View This Videoclipe!

E-Mail-Text:

• ----- forwarded message -----
• >> forwarded message
• forwarded message attached.
• Fuckin Kama Sutra pics
• hello, i send the file. Bye
• Hot XXX Yahoo Groups
• how are you? i send the details.
• i attached the details. Thank you.
• i just any one see my photos. It's Free :)
• Note: forwarded message attached. You Must View This Videoclip!
• Please see the file.
• Re: Sex Video
• ready to be FUCKED ;)
• The Best Videoclip Ever
• VIDEOS! FREE! (US$ 0,00)
• What?

Name des infizierten Anhangs:

• 007.pif
• 04.pif
• 3.92315089702606E02.UUE
• 677.pif
• Attachments[001].B64
• document.pif
• DSC-00465.Pif
• DSC-00465.pIf
• eBook.PIF
• eBook.Uu
• image04.pif
• New_Document_file.pif
• Original Message.B64
• photo.pif
• School.pif
• SeX.mim
• WinZip.BHX
• Word_Document.hqx
• Word_Document.uu

URLs in diesem Artikel:
[1] = http://www.viruslist.com/de/viruses/encyclopedia?virusid=109064
[2] = http://www.kaspersky.com/de/
[3] = http://www.microsoft.com/technet/security/advisory/904420.mspx
[4] = http://www.zdnet.de/downloads/weekly/20/weekly_407-wc.html
[5] = http://www.zdnet.de/downloads/prg/9/b/de1Q9B-wc.html
[6] = http://www.f-secure.com/v-descs/nyxem_e.shtml
[7] = http://securityresponse.symantec.com/avcenter/venc/data/w32.blackmal@mm.removal.tool.html