Die Hersteller von Antiviren-Software haben ihre Warnung vor einem Massen-Mail-Wurm namens Sircam eindringlich wiederholt (ZDNet berichtete erstmals in der vergangenen Woche). Seine Verbreitungsgeschwindigkeit nehme eher zu, dabei versendet er nicht nur eine Version seiner selbst an alle Einträge im Outlook-Adressbuch und versucht sich in Shard-Verzeichnisse zu kopieren, sondern vergrößert sich sogar noch selbst: Der Code sucht willkürlich nach Dokumenten auf dem infizierten Rechner und fügt sie in die E-Mail ein. Dabei besteht die Gefahr, dass sich auch vertrauliche Informationen unter den wahllos zusammengesuchten Dokumenten befinden.
„Es ist nicht unbedingt ein Loveletter, aber er treibt es ziemlich wild“ berichtete der Symantec-Manager Vincent Weafer. Sein Unternehmen gab dem Wurm auf einer Skala von eins bis fünf Gefahrenpunkten eine Vier.
Mit einer Wahrscheinlichkeit von 1:20 zerstört der Wurm laut Symantec (Börse Frankfurt: SYM) alle Dateien und Directories auf dem Laufwerk C:. Das passiert allerdings nur dann, wenn der User das Format D/M/Y benutzt. In einem Drittel aller Infektionsfälle füllt der Wurm bei jedem Bootvorgang den verbleibenden freien Festplattenplatz mit Datenmüll im Verzeichnis C.ecycledsircam.sys.
Auffällig ist der Wurm vor allem deshalb, weil der Text der verhängnisvollen E-Mail entweder in spanisch oder englisch gehalten ist, die Betreffzeile wird zufällig gewählt. Der Body-Text fängt immer entweder mit „Hola como estas?“ oder „Hi! How are you?“ an und hört mit „Nos vemos pronto, gracias“, beziehungsweise „See you later. Thanks“ auf. In den Zeilen dazwischen bittet der Autor in der jeweiligen Landessprache darum, die an die Mail angehängte Datei zu betrachten, weil der Absender den Rat des Empfängers zu dem File benötige.
Der Dateianhang heißt entweder „SirC32.exe“ oder „Tech Specs and Financials.doc.com“. Zum Entfernen des Wurms empfiehlt Symantec alle „W32.Sircam.Worm@mm“-Dateien zu löschen, die Sircam.sys im Papierkorb zu entfernen, den Eintrag in der Autoexec.bat zu entfernen sowie den Eintrag in der Registry zurückzuändern.
Kontakt:
Symantec, Tel.: 02102/74530 (günstigsten Tarif anzeigen)
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.