Lovgate-Wurm löst gelben Alarm aus

EnterpriseSicherheit

Ein Wurm geht um in Europa …

Neuer Virenalarm: Der Wurm mit der Bezeichnung WORM_LOVGATE.C verbreitet sich derzeit in Europa, Taiwan, Australien und Japan. Er nutzt “Return to Sender”-Social Engineering, um sich in Netzwerken zu verteilen. Das heißt nach Angaben des Virenschutz-Anbieters Trend Micro, dass er Kopien von sich selbst in gemeinsam genutzten Ordnern und Unterordnern hinterlasse.

Der Wurm enthalte darüber hinaus ein Backdoor-Programm, das das befallene Netzwerk für unbefugte Remote-User öffnet (Port 10168). Für Trend-Micro-Kunden, so heißt es in der Warnung weiter, gebe es Schutz ab dem Pattern 467, welches per Download auf der Homepage des Unternehmens erhältlich ist. Eine Prüfung für Soho-Unternehmen und Privatanwender gebe es hier auch.

Die Forscher bei dem Unternehmen bezeichnen den Wurm als gefährlich, weil er sich einer neuen Social Engineering-Taktik bediene: Demnach antwortet er eigenständig auf E-Mails, die sich im Postfach des befallenen Benutzers befinden. Der ursprüngliche Sender der E-Mail erhält dann eine Antwort, die sich scheinbar auf seine E-Mail bezieht. Er erkennt die Betreff-Zeile als Antwort auf seine Betreff-Zeile wieder und liest im Textkörper einen Kommentar, der ihn in unverbindlichen Worten bittet, sich den Anhang anzusehen und zu antworten.

Da der Empfänger den Vorgang leicht als Routineprozess einschätzen kann, steigt die Wahrscheinlichkeit, dass er das Attachment öffnet und damit der Verbreitung weiter Vorschub leistet.

WORM_LOVGATE.C befindet sich in der freien Wildbahn (“In the Wild”) und ist in Englisch verfasst, heißt es weiter. Er verbreitet sich auf den Windows-Plattformen und ist nicht verschlüsselt. Er hat eine Größe von 78,848 Bytes.

Die hinterlassenen Kopien auf den befallenen Rechnern im Ordner “Windows-System” können eine der folgenden Bezeichnungen tragen: WinPpcsrv.e, Syshelp.exe, Winrpc.exe, WinGate.exe, Repcsrv.exe.