Sophos meldet gefährliche Würmer

Der Sicherheitsexperte Sophos hat erneut Virenalarm vor JS/Coolsite.A, W32/Zacker-C sowie VBS/Dismissed-A gegeben. „Die Würmer im Netz läuten eine neue Gefahrensepisode ein. Wir schätzen die Gefahr als hoch ein, weil wieder einmal ein Sicherheitsloch in der Microsoft Java Virtual Machine benutzt wird“, heißt es in der Mitteilung. So sollen verschiedene Schädlinge ausgeführt werden, wenn eine präparierte Web-Seite besucht wird.

Bei JS/Coolsite.A handelt es sich um einen per E-Mail verschickten Internet-Wurm, der eine Sicherheitslücke in der Microsoft Java Virtual Machine ausnutzt. In der Nachricht ist ein Link eingefügt.

Die E-Mail trägt folgende Überschrift:

• Betreff: Hi!
• Text:
• Hi. I found cool site! http://[omitted] It’s really cool!“

Folgt der Empfänger dem Link, so soll ein destruktiver Code von der Webseite geladen und lokal gestartet werden. Der Virus nutzt laut dem Virenexperten eine Sicherheitslücke einer Active X-Komponente in der Virtual Machine, die einen Zugriff auf das lokale Dateisystem erlaubt. Angreifer hätten so die Möglichkeit, Dateien einzusehen und zu manipulieren.

Anschließend überprüfe das Script, ob E-Mails im Outlook-Ausgangskorb liegen, verändert die Überschrift jeder gefundenen Mail und übergibt den Link in die Nachricht. Danach werde versucht, die manipulierten Nachrichten zu versenden.

Zudem werde die Startseite des Internet-Explorers auf eine pornographische Site verändert.

Einen Sicherheitspatch der Virtual Machine gibt es bereits auf der Microsoft-Site zum Download.

Bereits wenige Stunden nach dem ersten Auftreten des Scriptes Coolsite.A meldete Sophos einen weiteren Wurm mit dem Namen W32/Zacker-C. Der Virus ist auch bekannt unter den Bezeichnungen W32/Maldal.c@MM, W32/Reeezak.A@mm sowie I-Worm.Keyluc.

Auch dieser Schädling wird laut Sophos via E-Mail verschickt und trägt die Überschrift „Happy New Year“. Der Inhalt der nachricht lautet:

Hi
I can’t describe my feelings
But all I can say is
Happy New Year:)
bye

Der Mail hänge eine Datei mit dem Namen „christmas.exe“ an. Werde die Datei ausgeführt, kopiere sich der Wurm in das Windows-Verzeichnis und erstellt laut dem Virenexperten einen Registry-Schlüssel zum Autostart unter:

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run mit dem Wert: Zacker= christmas.exe.

Zudem verändere der Wurm den Namen des PCs, indem er den Registry-Schlüssel HKEY_LOCAL_MACHINESystemCurrentControlSetControlComputerNameComputerNameComputerName=Zacker manipuliert.

Beim Internet Explorer stellt der Wurm zudem eine Start-Seite auf dem Geocities-Server ein. Zuletzt deaktiviere Zacker die Tastatur. Weitere Infos zu dem Schädling gibt Sophos auf seiner Site.

Der letzte gefährliche Schädling kommt durch eine Site, die vom Wurm Zacker als Start-Seite des Internet Explorers eingetragen wird. Über die Site werde der Virus VBS/Dismissed-A initialisiert und anschließend wird ein Script mit dem Namen „rol.vbs“ ausgeführt. Dieses Script stellt die Standard-Seite des Browsers wieder auf die Seite http://www.orst.edu/groups/msa/everwonder.swf um und ruft diese anschließend auf.

Hier wird laut Sophos versucht, diverse Antiviren-Produkte zu löschen. Zudem kopiert sich der Schädling in alle Dateien mit der Dateiendung „.lnk“, .zip“, „.jpg“, „.jpeg“, „.mpg“, „.mpeg“, „.doc“, „.xls“, „.mdb“, „.txt“, „.ppt“, „.pps“, „.ram“, „.rm“, „.mp3“, „.swf“ und setzt eine weitere Dateiendung „.vbs“ dahinter. Fortan wird der Schädling also beim Aufruf einer dieser Dateien ausgeführt.

Der VBS/Dismissed-A gibt die Meldung „VBS/Dismissed-A is a virus which was initially found on a page pointed by W32/Zacker-C worm“ aus.

Danach suche der Schädling nach Internet-Freigaben und kopiere sich auch dort in die freigegebenen Verzeichnisse. Anschließend erfolgt Sophos zufolge dort die Infektion. Parallel dazu forsche der Schädling nach MIRC, einem Chat-Programm für IRC. Dort werde die Datei „rol.vbs“ an alle in einem Channel angemeldeten Besucher verschickt.

VBS/Dismissed-A macht sämtliche Dateien mit der Endung „.htm“, „.html“ und „.asp“ auf dem infizierten Rechner ausfindig und setzt einen Script-Code in die Seiten, so der Virenexperte. Es wird dort ein Direktaufruf der Seite „http://www.orst.edu/groups/msa/everwonder.swf“ eingefügt.

Abschließend wird der Dialog zum Herunterfahren des Rechners angezeigt. Weitere Informationen zum Sicherheitspatch des Internet-Explorers hat Microsoft auf seiner Site bereitgestellt.

Das Sicherheitsloch ist laut Sophos seit 2000 bekannt. Offensichtlich wurden aber nicht alle Rechner mit den zur Verfügung stehenden Patches ausgestattet, meinte der Virenexperte.

Kontakt:
Network Associates, Tel.: 089/37070 (günstigsten Tarif anzeigen)

Kaspersky, Tel.: 007095/7978700 (günstigsten Tarif anzeigen)
Sophos, Tel.: 06136/91193 (günstigsten Tarif anzeigen)
Symantec, Tel.: 02102/74530 (günstigsten Tarif anzeigen)
Trend Micro, Tel.: 089/37479700 (günstigsten Tarif anzeigen)