Virus

Fingiertes PayPal-Fenster bringt Opfer zur Eingabe von Kreditkartendaten. Mehrere Anbieter von Anti-Viren-Produkten berichten, dass sich im Internet zunehmend ein neuer Wurm verbreitet, der versucht, auf ziemlich perfide Weise Kreditkartendaten zu sammeln. Dazu öffnet sich nach Öffnen des Wurmanhangs ein vermeintliches PayPal-Fenster und fordert zur Eingabe der Kreditkartendaten auf. Der Wurm wird je nach Hersteller als Paylap oder Mimail.I bezeichnet.

Belohnungen zur Ergreifung der Verantwortlichen für Blaster- und Sobig-Wurm. Microsoft gründete ein so genanntes "Anti-Virus-Reward-Program", um weltweit die Jagd auf Verantwortliche für die Verbreitung von Würmern und Viren zu unterstützen. Bei der Gründung erhielt die Initiative ein Startkapital von 5 Millionen US-Dollar, wovon bereits ein Teil der Summe für die Ergreifung und Verurteilung aktueller Wurm-Verbreiter zur Belohnung ausgesetzt wurde. Damit will Microsoft die zuständigen Ermittlungsbehörden bei der Fahndung nach den Verursachern unterstützen.

Allein im ersten Halbjahr 2003 knapp 1.000 neue Würmer und Viren. Wie der halbjährlich von Symantec erscheinende Internet Security Threat Report berichtet, wurden im ersten Halbjahr 2003 mehr als doppelt so viele Windows-Würmer und -Viren entdeckt wie noch im Zeitraum vor einem Jahr. Insgesamt existieren etwa 4.000 unterschiedliche Viren und Würmer, welche das Windows-32-API verwenden. Anwendern wird geraten, bereitgestellte Patches und Sicherheits-Updates für Software-Produkte unverzüglich einzuspielen.

Wurm nutzt altes Sicherheitsleck im Internet Explorer zur Verbreitung. Wie mehrere Anbieter von Antiviren-Lösungen berichten, wurde mit Swen ein neuer Wurm entdeckt, der sich unter anderem stark per E-Mail als vermeintlicher Patch verbreitet. Für eine effektive Verbreitung nutzt der Wurm eine über zwei Jahre alte Sicherheitslücke im Internet Explorer, so dass der Dateianhang automatisch ausgeführt wird. Wie auch manch früherer Wurm terminiert Swen laufende Virenscanner und Firewalls. Neben dem Verbreitungsweg via E-Mail pflanzt sich der Wurm über Newsgroups, KaZaA, IRC und Netzlaufwerke fort.

Automatisierte Warnungen von Viren-Schutzprogrammen verunsichern Anwender. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert Administratoren auf, keine automatisierten Benachrichtigungen über Würmer in ihren E-Mails an die Absender zu versenden. Vor dem Hintergrund aktueller Würmer wie Sobig.F, die gefälschte Absenderadressen verwenden, führen diese Warnungen meist nur zur Verunsicherung der Anwender.

Sobig.F überträgt Trojaner auf infiziertes System und sammelt vertrauliche Daten. Mit Sobig.F verbreitet sich seit wenigen Stunden ein vierter Ableger des Sobig-Wurms mit rasanter Geschwindigkeit im Internet, wie etliche Hersteller von Antiviren-Software berichten. Dabei weist der Unhold Routinen auf, um einen Trojaner auf das infizierte System zu übertragen, welcher das Sammeln von vertraulichen Daten des Angegriffenen ermöglicht.

Vermeintlicher Microsoft-Patch in einer E-Mail. Über den altbekannten E-Mail-Weg verbreitet sich seit kurzer Zeit der Wurm Dumaru stark, der eine Trojaner-Komponente in ein befallenes System einschleust, worüber ein Übeltäter via IRC-Verbindung das befallene System belauschen kann. Der Wurm gaukelt dem Anwender vor, dass die verseuchte E-Mail von Microsoft stamme, um den Anwender dazu zu bringen, die angehängte Patch-Datei zu starten und somit den Wurm zu aktivieren.

Nachi-Wurm nutzt RPC-Sicherheitsleck zur Bekämpfung des ersten Blaster-Wurms. Wie etliche Hersteller von Antivirenlösungen übereinstimmend berichten, verbreitet sich ein weiterer Wurm explosionsartig seit Montagnacht, welcher die gleiche Sicherheitslücke wie Blaster respektive Lovsan nutzt. Als besonderer Clou bekämpft dieser Wurm den originalen Blaster-Wurm, indem er diesen vom befallenen System entfernt und den Patch von Microsofts Website lädt, um die RPC-Sicherheitslücke zu schließen. Trotz dieses "gutmütigen" Verhaltens bewerten alle Antivirenhersteller den Wurm als Schädling, da er ohne Befugnis das System verändert und für entsprechenden Netzwerkverkehr sorgt.

Starke Verbreitung durch gefälschte Absenderadressen. Zum dritten Mal in Folge schafft es eine Variante des Sobig-Wurms, sich besonders rasant im Internet zu verbreiten. Auch der Wurm Sobig.E beendet seine Aktivitäten ab einem bestimmten Datum und ist danach nicht mehr aktiv. Dabei werden gefälschte Absenderadressen verwendet, was die Identifikation des befallenen Systems stark erschwert.

Antiviren-Technologien von GeCad sollen Sicherheit von Windows erhöhen. Microsoft kauft alle Rechte und Technologien des rumänischen Antiviren-Spezialisten GeCad Software. Man wolle mit der Übernahme die Sicherheit der Windows-Plattform durch Antiviren-Lösungen erhöhen, so Microsoft. Das Unternehmen will dabei die Unterstützung für Antiviren-Lösungen von Drittanbietern verbessern und diesen so einen besseren Zugang zum System verschaffen.

Wurm späht vertrauliche Daten aus und versendet deutsche Mail-Texte. Wie die Anbieter von Antiviren-Software berichten, verbreitet sich seit Donnerstagmorgen der Wurm Bugbear.B explosionsartig im Internet. Nachdem zunächst Details zur Arbeitsweise des Wurms fehlten, wurden diese mittlerweile nachgereicht, wobei die Antiviren-Spezialisten ungewöhnlich hohe Gefahrenstufen ausgerufen haben. Bereits die erste Variante des Wurms sorgte im Oktober 2002 für eine enorme Verbreitung, wird aber von der aktuellen Version deutlich in den Schatten gestellt. Auch der Neuling nutzt ein altes Sicherheitsleck im Internet Explorer zur automatischen Verbreitung, deaktiviert Virenscanner sowie Firewalls und enthält eine Trojaner-Komponente. Besonders gefährlich: Die Nachrichtentexte einer verseuchten E-Mail können in deutscher Sprache sein. Zudem versucht der Unhold, sich zwischen zahlreichen internationalen Banken zu verbreiten.

Sobig.C verbreitet sich über E-Mail und kopiert sich auf Netzlaufwerke. Vor knapp 14 Tagen sorgte der Mail-Wurm Sobig.B für enorme Verbreitung im Internet, indem der Wurm eine Vertraulichkeit vorgaukelte und eine Microsoft-Adresse als Absender verwendete. Dieses Muster kopiert nun der Ableger Sobig.C, der ebenfalls nur bis zu einem bestimmten Zeitpunkt aktiv ist und danach seinen Dienst einstellt.

Ungewöhnlich: Wurm-Verbreitung endet am 30. Mai 2003. Zahlreiche Hersteller von Antiviren-Software berichten über die explosionsartige Verbreitung eines Mail-Wurms, der als vermeintlichen Absender eine Microsoft-Adresse verwendet. Neben der E-Mail-Verbreitung kopiert sich der Wurm auch über angeschlossene Netzlaufwerke. Erstaunlicherweise verbreitet sich der Wurm nur bis zum 30. Mai 2003 und beendet danach seine Aktivitäten.

Verbreitung über E-Mail und das KaZaA-Netzwerk. Nach einem eher harmlosen Start verbreitet sich der E-Mail- und P2P-Wurm Fizzer besonders rasant im Internet. Aufgetaucht ist der Wurm bereits am 8. Mai 2003, allerdings wies nichts auf die nun eingetretene explosionsartige Verbreitung hin, die auch erst mehrere Tage später auftrat. Zahlreiche Hersteller von Antiviren-Software warnen übereinstimmend vor diesem Unhold und empfehlen eine möglichst zügige Aktualisierung der entsprechenden Virenscanner.

Software scannt eingehenden Netzwerkverkehr auf Viren. Das Tettnanger Softwarehaus H+BEDV Datentechnik präsentiert mit seinem AntiVir WebGate ein Schutzinstrument gegen Virenangriffe aus dem Internet. Die in Linux-Server integrierbare Applikation überprüft komplett die eintreffenden http-Daten auf Computerviren inklusive Javascripte, Bildformate wie .jpg oder .gif sowie gepackte Dateien. Je nach individuellen Netzwerk Policies wird WebGate entweder zwischen Internet und Server oder zwischen Server und Clients installiert.

Tieferen Zugang zu Word und Exchange Server. Microsoft hat auf der diesjährigen RSA-Konferenz in San Francisco neue Schnittstellen für die Hersteller von Antivirensoftware angekündigt, mit denen diese einen einfacheren und tieferen Zugang zu Applikationen wie dem Office-Paket, den Exchange-Servern sowie dem Windows-Betriebssystem erhalten.

Worm_CODE RED.F frisst sich durchs Netz. Antiviren-Forscher haben vor dem Wurm CODE RED.F gewarnt, der ähnlich wie andere Varianten von CodeRed eine durch einen Buffer-Overflow verursachte Verwundbarkeit des Microsoft IIS (Internet Information Server) ausnutzt. Dies kann einem Angreifer erweiterte Rechte über das befallene System verschaffen. Der Wurm hinterlässt auf einem infizierten Web-Server ein Backdoor-Programm.

Über 30 gefährliche Sicherheitslecks im Internet Explorer im Jahr 2002 entdeckt. Der halbjährlich erscheinende Internet Security Threat Report von Symantec, einem Anbieter von Sicherheitslösungen für den IT-Bereich, berichtet über eine deutliche Zunahme und eine höhere Gefährdung der entdeckten Sicherheitslöcher in Microsofts Web-Browser Internet Explorer im vergangenen Jahr. Besonders die explosionsartige Verbreitung einiger Internet-Würmer wurde so erst möglich.

Lovgate.C beantwortet E-Mails im Eingangs-Ordner von Outlook/ Outlook Express. Nach Angaben zahlreicher Anbieter von Antiviren-Lösungen verbreitet sich der neu entdeckte Wurm Lovgate.C rasant im Internet. Der Schädling legt auf dem System einen Backdoor-Trojaner ab, um so Systeminformationen der betreffenden Nutzer zu sammeln und einem Hacker Zugriff auf das System zu ermöglichen.

Wurm brachte in 3 Minuten das Netz zum Wanken. Der am letzten Januar-Wochenende ausgebrochene Wurm SQL-Slammer alias Sapphire gilt als der sich am schnellsten verbreitende Wurm bislang. Einer Analyse der CIADA (Cooperative Association for Internet Data Analysis) zufolge hatte der Wurm in nur 10 Minuten rund 90 Prozent aller verwundbaren Systeme infiziert. Zu Beginn des Ausbruch verdoppelte sich seine Ausbreitung alle 8,5 Sekunden.

"SQL Slammer" verursacht enormen Internet-Traffic. Anti-Viren-Hersteller, Computer-Sicherheitsunternehmen und auch Microsoft warnen vor einem neuen Wurm, der sich offenbar rasant im Internet ausbreitet. Der Wurm "SQL Slammer" nutzt eine Sicherheitslücke bei Microsofts SQL Server und greift von infizierten Systemen aus per Zufall andere Systeme im Internet an. Dabei verursacht der Wurm einen enormen Traffic. Internet Security Systems berichtet von mehreren Milliarden Angriffen durch Slammer in nur zwölf Stunden.

Wurm verbreitet sich über E-Mail, ICQ, IRC und KaZaA. Ein neuer Mail-Wurm namens Lirva.A treibt im Internet sein Unwesen, der sich über E-Mail, ICQ, IRC, KaZaA sowie offene Netzwerk-Verbindungen verbreitet und bei Aktivierung Virenscanner und Software-Firewalls deaktiviert. Der Wurm macht sich eine alte Sicherheitslücke im Internet Explorer zu Nutze, um sich automatisch verbreiten zu können. Zahlreiche Anbieter warnen vor dem neuen Wurm und bieten bereits aktualisierte Virensignaturen an.

Zur Verbreitung durchsucht der Wurm alle lokalen Dateien nach E-Mail-Adressen. Anbieter von Anti-Viren-Software warnen übereinstimmend vor einem neuen Mail-Wurm (Holar.C), der es darauf abgesehen hat, alle Dateien auf den Festplatten-Laufwerken D:, E:, F: und G: zu löschen. Für eine effektive Verbreitung durchsucht der Wurm alle Dateien auf der Festplatte nach gültigen E-Mail-Adressen und versendet sich an diese.

Wurm nutzt zwei Sicherheitslücken in Microsoft-Produkten. Anbieter von Antiviren-Software warnen vor dem neu entdeckten Mail-Wurm Winevar, der den eher harmlosen Virus Funlove in das befallene System einschleust, aber dennoch gehörigen Datenverlust beschert. Der Wurm deaktiviert zahlreiche Virenscanner und auch Firewall-Software auf dem System, um ungestört seiner Arbeit nachgehen zu können.

Oror-Wurm versucht Virenscanner und Firewall-Software zu deaktivieren. Zahlreiche Hersteller von Antiviren-Software warnen vor dem Oror-Wurm, der sich sowohl über E-Mail als auch über Netzwerk-Laufwerke sowie das KaZaa-Netzwerk verbreitet und bereits in sechs Varianten vorliegen soll. Zudem schleust der Wurm eine IRC-Hintertür ein, um über den Chat-Dienst Kontrolle über das befallene System zu erlangen. Schließlich löscht der Wurm zahlreiche Dateien und deaktiviert laufende Virenscanner.

Bugbear späht Passwörter, Kreditkartennummern und weitere vertrauliche Daten aus. Wie zahlreiche Anbieter von Antiviren-Software übereinstimmend berichten, verbreitet sich seit vergangener Nacht ein Trojaner-Wurm namens Bugbear rasant im Internet. Der Wurm nutzt ein altes Sicherheitsleck im Internet Explorer, deaktiviert Virenscanner sowie Firewalls und enthält eine Trojaner-Komponente, die nach vertraulichen, sensitiven Daten auf dem befallenen System sucht.

Slapper-Wurm sucht nach veralteten OpenSSL-Versionen. Wie zahlreiche Anbieter von Antiviren-Software berichten, verbreitet sich ein Wurm über Apache-Web-Server mit aktiviertem SSL. Der jüngst entdeckte Apache-Wurm Slapper nutzt eine Sicherheitslücke in OpenSSL, um ein Shell-Skript auf Linux-Systemen mit installiertem Apache zu starten und sich stetig weiter zu verbreiten. Außerdem ist eine Distributed-Denial-of-Service-Attacke denkbar.

"snafu.mailfilter" soll Briefkästen rein halten. Zurzeit ist bei den meisten E-Mailpostfächern noch Selbstschutz angesagt: Die Internetprovider überlassen es in aller Regel ihren Kunden, Viren abzuwehren und Filterregeln gegen Spam auf ihrem eigenen Rechner einzurichten. Die Berliner Inter.net Germany GmbH, die den Internet-Zugangsdienst "snafu" anbietet, hat jetzt ihre Mailpostfächer serverseitig gegen Spam und Mail-Viren gewappnet: Ein Service, von dem sich andere Anbieter durchaus eine Scheibe abschneiden könnten.

Verbreitung über das Outlook-Adressbuch und die Kontakte im MSN-Messenger. Nach langer Zeit treibt eine weitere Variante des MyLife-Wurms ihr Unwesen: Der Wurm W32.Mylife.M@mm löscht und überschreibt nach der Aktivierung zahlreiche Daten auf den angeschlossenen Laufwerken und vermehrt sich via E-Mail, indem er sich an alle Adressen versendet, die er im Outlook-Adressbuch und den Kontakten im MSN Messenger findet.

Wurm W32.Chir.B@mm nutzt altes Sicherheitsleck bei der Anzeige von E-Mails. In einem aktuellen Security Alert warnt Microsoft erstmals vor einem E-Mail-Wurm, der erneut eine lange bekannte Sicherheitslücke im Internet Explorer ausnutzt. Microsoft bietet schon lange einen Patch an, aber immer wieder tauchen neue E-Mail-Würmer auf, die diese Lücke ausnutzen und darauf setzen, dass viele Anwender solche Patches nicht einspielen.

Frethem-Wurm versendet sich über eigene SMTP-Engine. Wie zahlreiche Hersteller von Antiviren-Software warnen, verbreitet sich erneut ein Wurm, der eine alte Sicherheitslücke im Internet Explorer für seine Dienste ausnutzt. Immerhin ändert der Frethem-Wurm nicht ständig seine Betreffzeile oder den Nachrichtentext, wie es andere E-Mail-Würmer in jüngster Zeit vormachten.

PC-Spionage am Arbeitsplatz und zu Hause. "Diese Software können Sie kostenlos benutzen, wenn Sie sich im Gegenzug mit Werbung aus dem Internet beliefern lassen." Klingt gut, wird aber bedrohlich, wenn das Programm, das angeblich nur die Reklame liefert, nebenbei akribisch Ihr Tun am PC protokolliert - womöglich Passwörter mitschreibt - und die Daten ins Web sendet, warnt das Computermagazin c't in Ausgabe 15/02.

Scalper-Wurm laut Antivirenherstellern bislang ohne größere Verbreitung. Der Scalper-Wurm nutzt eine bereits vor zwei Wochen bekannt gewordene Sicherheitslücke im Apache-Webserver, befällt derzeit aber wohl nur das Betriebssystem FreeBSD.

Der Wurm Yaha.E übertrumpft in der Gerissenheit den Wurm Klez.H. Wie zahlreiche Antiviren-Hersteller warnen, verbreitet sich der Wurm Yaha.E rasant im Internet und nutzt die gleiche Sicherheitslücke im Internet Explorer wie der Wurm Klez.H zur automatischen Ausführung des Wurms. Außerdem durchsucht der Yaha-Wurm lokale Dateien nach E-Mail-Adressen und deaktiviert laufende Virenscanner. Immerhin bleibt als kleiner Trost, dass Yaha.E die Absenderadressen der E-Mails nicht fälscht, so dass befallene Anwender darüber informiert werden können.

Technikstudie ohne akute Bedrohung. Die Viren-Labors von Herstellern von Antiviren-Software entdeckten einen absolut harmlosen Virus, der erstmals JPEG-Bilddateien infiziert, aber nicht in der Lage ist, von sich aus ein System zu befallen. Im Grunde ist dieser Virus systembedingt funktionsuntüchtig, weil er sich ausschließlich auf einem bereits infizierten System aktivieren kann.

Wurm überschreibt Visual-Basic-Dateien. Ende Mai tauchte ein Wurm auf, der im Anhang vermeintliche Bilder des Popstars Shakira enthält, stattdessen aber einen Wurm ins System einschleust. Schien sich der Wurm zunächst nicht so stark zu verbreiten, konnte er sich in jüngster Zeit doch stark vermehren. Auf befallenen Systemen überschreibt er alle Dateien mit den Endungen .vbs und .vbe.

Vermutlich neue Version des Wurms WORM_SQLACCESS.A. Der Anbieter von Antiviren-Lösungen Trend Micro beobachtet aktuell eine extrem große Anzahl an Kontaktaufnahmen mit dem Port 1433 (Microsoft SQL Port). Das Unternehmen vermutet einen Hackerangriff hinter der ungewöhnlich hohen Zahl der Kontaktversuche mit dem MSSQL Port.

Symantec vergibt höchste Gefahrenstufe; bislang höchste stärkste Verbreitung. Der Mitte April erstmals aufgetauchte Mail-Wurm W32.Klez.H@mm verbreitet sich zusammen mit seinen Varianten besonders schnell im Internet. Wie Symantec berichtet, erhält das Virenlabor täglich mehr als 3.000 Rückmeldungen zu dem Klez-Wurm, was doppelt so viel ist wie beim bisherigen Spitzenreiter Sircam.

Wurm deaktiviert Virenscanner und nutzt Sicherheitslücke im Internet Explorer. Seit kurzem verbreitet sich der Wurm W32.Klez.H@mm, eine besonders bösartige Abart des Wurms W32.Klez.E@mm, explosionsartig im Internet. Der Wurm geht besonders perfide zu Werk, denn er deaktiviert zahlreiche Antiviren-Programme und löscht sogar deren Virendateien. Außerdem nutzt er eine Sicherheitslücke im Internet Explorer, so dass ein Anwender die Ausführung des Wurms unter Umständen nicht bemerkt. Zu allem Überfluss versendet sich der Schädling nicht nur an alle Einträge im Outlook-Adressbuch, sondern durchforstet auch zahlreiche lokale Dateien nach E-Mail-Adressen, so dass Experten eine besonders rasante Verbreitung des Wurms erwarten.

Schädlinge löschen Laufwerk C oder überschreiben Dateien. Im Internet treiben zwei neue Varianten des MyLife-Wurms ihr Unwesen: Der Wurm W32.Mylife.J@mm löscht nach der Aktivierung alle Daten auf Laufwerk C und kann so für enorm starke Datenverluste sorgen. Gleiches gilt für den Unhold W32.MyLife.i@MM, der alle Dateien mit einem Leerzeichen füllt und so den eigentlichen Dateiinhalt löscht, was einer Datenlöschung gleichkommt.

Verbreitung über das Outlook-Adressbuch. Dem vor rund einer Woche aufgetauchten E-Mail-Wurm 'W32.MyLife.B@mm' wurden nun gleich vier weitere gefährliche Gesellen an die Seite gestellt, die sich über das Internet stark verbreiten. Alle vier Unholde löschen zahlreiche Dateien auf der lokalen Festplatte oder versuchen, mehrere Partitionen zu formatieren.

Verbreitung über das Outlook-Adressbuch; löscht morgens zahlreiche Dateien. Im Internet treibt mal wieder ein bösartiger E-Mail-Wurm sein Unwesen, der sich stark verbreitet und zudem eine bösartige Schadroutine enthält. Der Wurm "W32.MyLife.B@mm" löscht zahlreiche wichtige Dateien, wenn der Rechner zwischen 8:00 und 9:00 Uhr morgens angeschaltet ist.

E-Mails wurden nicht von Microsoft verschickt - ISDN Dialer wurde installiert. E-Mails, die seit Samstag, den 16.3.2002, unter diesem Absender in Umlauf gebracht wurden, enthalten eine angebliche Viruswarnung vor einem neuen Virus namens "Sweartheart". Der Empfänger der Mail wird darin aufgefordert, sich unter einer dort angegebenen URL-Adresse eine angebliche Microsoft-Virenschutz-Software kostenlos herunterzuladen, die diesen Virus dann vernichten soll.