Virus

Sophos: E-Mail-fähige Würmer auf dem Vormarsch. Der Antiviren-Spezialist Sophos hat bei der Auswertung seiner Supportstatistik festgestellt, dass 2001 nur zwei einzelne Viren, nämlich Nimda und Sircam, für fast 50 Prozent aller Anrufe beim Sophos-Support gesorgt haben. Code Red, der medienpräsenteste Virus dieses Jahres, ist in der Statistik nicht einmal vertreten.

E-Mail-Wurm verbreitet sich explosionsartig im Internet. An diesem Montag entglitt mit Badtrans.B ein Wurm in die Weiten des Internets, der sich so stark verbreitete, wie man es bisher nicht kannte. Das berichten übereinstimmend alle namhaften Hersteller von Antiviren-Software, was sich mit den Erfahrungen von Golem.de deckt. Damit stellt der Wurm selbst die seinerzeit lawinenhafte Verbreitung vom SirCam-Wurm in den Schatten. Hauptgrund für die Badtrans-Epidemie sind im Wesentlichen nicht gestopfte Sicherheitslücken in Microsoft-Produkten.

Im Mai 2001 entdeckter Internet-Wurm Aliz ruft neue Epidemie hervor. Kaspersky Lab warnt vor dem Internet-Wurm "Aliz", weil zahlreiche Infektionsfälle aus vielen Ländern gemeldet wurden. Die bösartige Software verbreitet sich via E-Mail-Anhang und tarnt sich als Windows-Anwendung (PE-EXE-Datei).

Schutz vor E-Mail-fähigen Viren. Sophos teilte mit, dass der Sophos MailMonitor für SMTP ab sofort verfügbar ist. Unternehmen sollen mit der Gateway-Antiviren-Lösung Schutz vor Viren in E-Mails erhalten, die über das Standard-Protokoll für die E-Mail-Kommunikation im Internet verschickt wurden. MailMonitor für SMTP ist derzeit für die Windows-NT/2000-Plattform, in Kürze aber auch für Linux erhältlich.

Schadroutine überschreibt am 13. eines Monats zahlreiche Dateien. Seit dem Wochenende verbreitet sich laut Symantec ein neuer Mail-Wurm namens W32.Klez.A@mm mit rasanter Geschwindigkeit, der eine Sicherheitslücke in Outlook und Outlook Express ausnutzt, wodurch der Wurm schon bei der Mail-Vorschau ausgeführt wird.

Nach kurzer Zeit erreicht der Wurm I-Worm/ANTS3 bereits hohe Verbreitung. Seit kurzem geistert ein neuer Wurm durch die E-Mail-Dickichte, der sich als das kostenlose Trojaner-Scanprogramm ANTS ausgibt. Tatsächlich ist es aber ein Wurm, der die Festplatte nach E-Mail-Adressen durchsucht und sich an diese versendet. Schon nach kurzer Zeit konnte sich der Wurm I-Worm/ANTS3 besonders im deutschsprachigen Internet sehr stark verbreiten.

Umgehung sämtlicher Sicherheitsmaßnahmen. Auf Grund eines Hinweises von Peter Ferrie von Symantec sieht sich Microsoft genötigt, in einem Schreiben vor Gefahren neuer Makroviren zu warnen, die sämtliche bisherigen Sicherheitsmaßnahmen in Excel und Powerpoint umgehen, die normalerweise dazu führen sollen, dass Makros selbstständig ausgeführt werden und der Anwender über die Anwesenheit von Makros in einem Dokument gewarnt wird.

Gefährliche Schadroutine installiert zudem Trojaner auf befallenem System. Wie einige Hersteller von Antiviren-Software warnen, tauchte ein neuer E-Mail-Wurm auf. Der Vote-Wurm versucht, sich die schrecklichen Ereignisse vom 11. September in New York und Washington zu Nutze zu machen. Der im Mail-Anhang befindliche Wurm tarnt sich als Abstimmung gegen einen nahenden Kriegsausbruch, beginnt bei Aktivierung aber mit dem Löschen etlicher Dateien und der Formatierung der C-Partition.

Keine Schadensroutine enthalten. Kaspersky Lab warnt vor einem neuen Internet-Wurm namens "Lara". Er sei der erste Schädling, der sich anhand von Desktop Themes verbreitet. Lara verbreitet sich nach Angaben des Anti-Viren-Spezialisten ausschließlich über IRC-Kanäle, wobei die Trägerdatei des LaraCroft.theme-Wurms an die verbundenen Rechner gesendet wird. Der Dateiname täuscht die Anwender, weil er sich als Desktop Theme für Windows mit Motiven aus dem Film Tomb Raider ausgibt.

F-Prot Beta für Linux erschienen. Frisk Software bietet seinen Virenscanner F-Prot Antivirus nun auch für Linux an. Eine kostenlose Beta-Version der Software lässt sich bei Frisk herunterladen.

Unverständlich: Patch zur Schließung der Sicherheitslücke nicht enthalten. Für den Anfang der Woche mutierten Server-Wurm CodeRed.C bietet Microsoft jetzt einen speziellen Patch an, der die Dateien des Eindringlings entfernen soll, jedoch nicht allen angerichteten Schaden behebt. Absolut unverständlich ist, warum Microsoft nicht auch den Patch zum Stopfen der Sicherheitslücke im Internet Information Server beilegt. Ohne das Sicherheitsloch in dem Microsoft-Produkt könnte sich der Wurm gar nicht verbreiten.

Geringe Verbreitung - Wurm steckt in einer PDF-Datei. Wie Symantec auf ihren Viren-Informations-Seiten berichtet, ist erstmals ein Wurm aufgetaucht, der sich in PDF-Dateien versteckt. Da sich der VBS.PeachyPDF@mm-Wurm ausschließlich über das kostenpflichtige Acrobat zur Erstellung von PDF-Seiten verbreiten kann, wurde er nur selten in freier Wildbahn gesichtet.

Neue Variante von CodeRed gewährt Zugriff auf fremde Rechner. Mit CodeRed.C alias CodeRed.v3 oder auch CodeRed 2 ist jetzt eine erste Mutation des CodeRed-Wurms aufgetreten. Dieser nutzt zwar die gleiche Sicherheitslücke wie das Original, unterscheidet sich aber in der Schadensroutine vom ursprünglichen Wurm CodeRed.

Mutierter CodeRed-Wurm soll in der Nacht zum Mittwoch zuschlagen. Vor rund einer Woche tauchte der CodeRed-Wurm auf und verbreitet sich seitdem rapide über zahlreiche Internet-Server. Jetzt warnt auch Microsoft einhellig mit einigen US-Regierungsstellen, darunter das FBI, vor dem Wurm. Schließlich nutzt der Schädling zur Verbreitung eine Sicherheitslücke im Microsoft Internet Information Server.

Potok-Wurm arbeitet nur auf NT-Systemen. Symantec, ein Hersteller von Anti-Viren-Software, entdeckte mit "Potok" einen neuen E-Mail-Wurm, der sich bereits stark verbreitet haben soll und sich auf NT-Systemen einen Administrator-Zugang einrichtet.

Auch Code-Red-Wurm konnte nicht eingedämmt werden. Vor wenigen Tagen tauchte der SirCam-Wurm im Internet auf und treibt seitdem weiter tatkräftig sein Unwesen. Gleiches gilt für den kurz zuvor entdeckten Code-Red-Wurm, der vor allem Netzwerke befällt und sich seitdem munter quer über den gesamten Globus verbreitet.

Support für OpenBSD, Solaris und Exim Mailserver. Der Antivirenspezialist Kaspersky Lab hat eine neue Version von Kaspersky Anti-Virus für Unix/Linux auf den Markt gebracht. Diese ermöglicht nun auch eine zentralisierte Installation und Verwaltung der Antiviren-Software auf File- und Application-Servern unter OpenBSD (Version 2.8) und Solaris 8 (Intel-Plattform). Neu ist auch der Support für den Exim Mailserver, der zu den fünf verbreitetsten E-Mail-Gateways für Unix/Linux zählt.

Auch "SirCam"-Wurm nutzt zur Verbreitung das Outlook-Adressbuch. Wie die Anti-Virensoftware-Hersteller McAfee und Symantec berichten, verbreitet sich ein neuer E-Mail-Wurm rasant über das Internet, der nicht nur sich selbst, sondern auch persönliche Dokumente per E-Mail versendet. Dazu durchforstet der SirCam-Wurm unter anderem das Verzeichnis "Eigene Dateien" auf dem infizierten Rechner.

Wurm nutzt Sicherheitslücke im Microsoft Internet Information Server. Wie Network Associates, ein Hersteller von Antiviren-Software, meldet, verbreitet sich seit gestern ein Internet-Wurm mit dem Namen "Code Red" explosionsartig im Internet. Er macht sich eine Sicherheitslücke im Microsoft Indexing Service zu Nutze, wofür bereits seit über einem Monat ein passender Patch erhältlich ist.

Vorinfektion mit SubSeven zur Funktion notwendig. Der Antivirenspezialist Kaspersky Lab warnt Computeranwender vor einer neuen Version des Internet-Wurms I-Worm.Leave, die sich im Netz als Microsoft-Meldung verbreitet.

VBS.Jolin@mm verbreitet sich über Outlook und mIRC. Symantec warnt vor einem neuen Wurm namens "VBS.Jolin@mm", der sich über das E-Mail-Programm Outlook sowie über das Chat-Tool mIRC verbreitet und auf infizierten Systemen zahlreiche Dateien löscht und überschreibt.

Virenprogrammierer setzten auf morbiden Voyeurismus. Der Antivirenhersteller Sophos warnt vor Websites, die angeben, ein Video der Exekution des Massenmörders Timothy McVeigh zum Download anzubieten. In Wirklichkeit handelt es sich dabei um einen Trojaner, der den Anwender ausspioniert.

AppleScript-Wurm verbreitet sich über Outlook Express oder Entourage. Symantec, ein Hersteller von Antiviren-Software, berichtet von einem neu entdeckten Wurm, der sich auf Macintosh-Systemen mit Hilfe von AppleScript über das Adressbuch von Outlook Express oder Entourage verbreitet. Bislang soll sich eine Ausbreitung des Wurms aber in Grenzen halten.

Wurm befällt IIS und startet DoS-Attacke auf Microsoft-Server. Symantec warnt vor einem neuen Internet-Wurm, der sich eine längst bekannte Sicherheitslücke im Internet Information Server (IIS) zu Nutze macht und eine DoS-Attacke (Denial of Service) auf Microsofts Website startet. Außerdem sendet der "DoS.Storm.Worm" massenhaft E-Mails an die Adresse von Bill Gates.

Neuer gefährlicher Visual-Basic-Wurm "I-Worm.MsWorld" treibt sein Unwesen. Zahlreiche Hersteller von Anti-Viren-Software warnen vor einer neuen Variante eines Internet-Wurms, der sich über das Outlook-Adressbuch verbreitet. Hinter einem Miss-World-Bild verbirgt sich ein Visual-Basic-Wurm, der nach einem Neustart die lokale Festplatte formatiert.

Neuer VB-Script-Wurm versendet sich über das Outlook-Adressbuch. Wie Sophos, ein Hersteller von Anti-Viren-Software, mitteilt, ist ein neuer I-Love-You-Ableger aufgetaucht: Der VB-Script-Wurm "VBS.Lopez.A@mm" lockt mit Nacktbildern von Jennifer Lopez, sorgt dann aber für hohe Datenverluste auf dem Rechner. Er überschreibt etliche Dateitypen und infiziert den Rechner außerdem mit dem Chernobyl-CIH-Virus.

Mawanella-Wurm enthält keine Schadroutinen. Viele große Hersteller von Antiviren-Software warnen jetzt vor einem neuen VBScript-Wurm, der sich rasant über das Outlook-Adressbuch verbreitet. Ansonsten richtet der Wurm keinerlei Schäden am System an.

Internet-Wurm besitzt keine schlimmen Schadfunktionen. Der Hersteller von Antiviren-Software, Trend Micro, warnt vor einem neuen Wurm, der sich als I-Love-you-Ableger rasant über Outlook von Microsoft verbreiten soll.

Schutzmechanismen in The Bat! zeigen Wirkung. Wie der Hersteller von Anti-Viren-Software, Kapersky Lab, jetzt mitteilte, ist mit "Stator" der erste E-Mail-Wurm für den E-Mail-Client The Bat! in freier Wildbahn aufgetaucht. Allerdings ist die Gefährdung gering, weil The Bat! Blockmechanismen gegen das Einschleusen von Viren und Würmern besitzt.

TROJ_Matcher.A löst Massenmails aus. Outlook-Benutzer müssen sich einmal mehr um die Sicherheit ihres Rechners sorgen: Der TROJ_Matcher.A getaufte "Virus" (eigentlich ein Wurm) ist zu erkennen an der Betreffzeile "Matcher" und dem Dateianhang "MATCHER.EXE", das einmal ausgeführt sich selbstständig an alle Einträge im Outlook-Adressbuch verschickt.

Wurm und Trojaner im Paket. Der Anti-Viren-Hersteller Kaspersky Labs warnt vor dem neuen Wurm "Badtrans", der alle ungelesenen Nachrichten im E-Mail-Postfach beanwortet und außerdem einen Trojaner ins Windows-System einschleust. Die Wurm-Komponente kann dabei die E-Mail-Kommunikation schnell zum Erliegen bringen.

Erster Virus entdeckt, der auf beiden Plattformen arbeitet. Wie Central Command, ein Hersteller von Antiviren-Lösungen, mitteilte, ist soeben der erste Virus gesichtet worden, der sowohl auf der Windows-Plattform als auch unter Linux agiert. Der Schädling hört auf den Namen Win32.Winux oder auf Linux.Winux, richtet aber keinen nennenswerten Schaden an.

Einjähriger Update-Service enthalten. Auf der CeBIT in Hannover zeigt der Hersteller von Virenscannern, F-Secure, die zweite Version der Antivirus-Software F-Secure Anti-Virus für PalmOS.

Destruktiver Windows-Wurm "Naked Wife" treibt sein Unwesen. Der jüngst entdeckte neue Internet-Wurm "Naked Wife", auch unter der Bezeichnung "W32/Naked@MM" bekannt, trifft als Dateianhang mit einer E-Mail ein. Deren Begleitworte dürften vor allem männliche Windows-Nutzer zum Aufrufen der EXE-Datei animieren - die daraufhin versucht, sich weiterzuversenden und System-Dateien sowie Anwendungen zu löschen.

"LoveLetter" stirbt wohl niemals aus. Schon wieder einmal treibt eine Love-Letter-Variante ihr Unwesen. "Myba" heißt der neue Spross, der nach Angaben von Kaspersky Labs als Exe-Datei daherkommt, die wieder in Visual Basic geschrieben wurde und Merkmale des "LoveLetter" aufweist.

Wurm nutzt Peer-to-Peer-Netz Gnutella zur Verbreitung. Hersteller von Antivirensoftware warnen vor einem neuen Wurm namens "Mandragore", der sich über den Peer-to-Peer-Dienst Gnutella ausbreitet. Bereits im Mai 2000 hatte Seth MacGann in der Sicherheitsmailingliste auf diese Sicherheitslücke hingewiesen, ausgenutzt wurde sie bisher aber nicht.

Neue deutsche Variante des Anna-Kournikova-Computervirus. Nachdem Anfang der Woche der Virus VBS_Kalamar.A, alias VBS.SST alias AnnaKournikova sein Unwesen trieb, folgt nun eine neue, speziell deutsche Variante des Virus. Diesmal ist es "Robert T. Online", der die gefährliche Botschaft transportiert. Der Absender "support@t-online.de" täuscht eine vertrauenswürdige Herkunft der E-Mail vor und das Attachment "Neue Tarife.txt.vbs" ermutigt, gerade nachdem T-Online gestern neue Tarife angekündigt hat, zum unvorsichtigen Öffnen.

Täter geständig und reumütig. Nach Meldungen von Anti-Virenherstellern konnte der niederländische Autor des Kournikova-Virus festgenommen werden. Die schwedische Firma Atremo hat nach eigenen Angaben den "Namen" des vermutlichen Täters dem FBI übergeben, nachdem man durch Newsgroups und Webforen auf die Spur des Täters gekommen war, so das Unternehmen.

Loveletter-ähnlicher VBS-Virus. Der VBS.SST ist ein weiterer Visual-Basic-Script-(VBS-)Wurm, der sich, wie schon andere Würmer vor ihm, des Mailclients "Outlook" von Microsoft bedient, um sich selbst zu verschicken. Der Virus versucht sich als Foto der Tennisspielerin Anna Kournikova zu tarnen und kommt wie der Loveletter als Dateianhang, also als Attachment auf den Rechner.

Anti-Viren-Software auf dem Prüfstand. Anti-Viren-Programme versprechen optimalen Schutz vor Würmern, Viren und Trojanern. Doch allein auf Virenscanner zu vertrauen, reicht nicht aus, wie der Test von 14 Programmen in Ausgabe 2/2001 des Computermagazins c't zeigte. Spätestens seit dem ILOVEYOU-Wurm ist Anti-Viren-Software in aller Munde. Hundertprozentige Sicherheit kann sie jedoch auch nicht bieten. Denn die Virenscanner erkennen nur ihnen bekannte Schädlinge zuverlässig, so dass sie auf aktuelle Viren-Signaturen angewiesen sind. Bei geringfügig modifizierten Viren müssen die meisten Programme daher schon passen. Noch mehr Probleme bereitet ihnen das Aufspüren völlig neuer Viren und die Reinigung infizierter Dateien, so die c't.

Wurm installiert Trojaner auf infizierten Rechnern. Computer Associates warnt zu Jahresbeginn vor einem neuen Wurm namens "Tqll-A" bzw. "VBS/Tqll-A", der einmal mehr User von Microsoft Outlook gefährdet. Allerdings sei der Wurm nicht sonderlich gefährlich, so CA.

Basierend auf dem "Virus Control Center" von MessageLabs. Die Mail-Scannersoftware prüft alle ein- und ausgehenden E-Mails inklusive Dateianhang auf Viren. Dabei kommen insgesamt vier E-Mail-Scanner zum Einsatz. "ISION Mail Scan ist ein weiterer Schritt zum Ausbau unserer Application Services und unterstreicht gleichzeitig unsere Security-Kompetenz", sagte Dr. Thomas Kiessling, CTO der ISION Internet AG. "Wir betreiben den Virus Tower von MessageLabs direkt in unserem eigenen Rechenzentrum. Unsere Kunden können auf diese Weise sehr bequem von allen Vorzügen der Lösung profitieren."

E-Mail-Wurm in Europa noch wenig verbreitet. Der Trojaner "Troj_Shockwave.A" nutzt den Mail-Client MS Outlook, um sich selbst über das Adressbuch an alle darin enthaltenen Einträge zu versenden und zu verbreiten. Dabei versendet der E-Mail-Wurm auch den Datei-Anhang "creative.exe" mit einer Größe von 36,864 Bytes, der die eigentliche Schadroutine enthält.