Neuer Wurm in Deutschland: Lirva C steht auf Teenie-Stars

EnterpriseSicherheit

Bösartigkeit noch in Grenzen

Das Security-Unternehmen Trend Micro hat “Yellow Alert”, eine höhere Stufe des Virenalarms ausgelöst: Der Computerwurm WORM_LIRVA.C verbreitet sich demnach mit hoher Geschwindigkeit nun auch in Deutschland über E-Mail, benannte Netzwerkfreigaben, IRC, ICQ und Kazaa-Netzwerke.

Der Wurm wird aktiviert, auch ohne dass der Benutzer das Attachment der E-Mail öffnet: Er nutzt eine Schwachstelle im Internet Explorer und öffnet das Attachment selbstständig über Automatic Execution of Embedded MIME type. Passwörter im Cache dienen als Schlupflöcher für die Verbreitung, so Trend Micro.

Auch aus Norwegen kommen inzwischen Warnungen. Der Antiviren-Spezialist Norman ASA verbreitet die Meldung, der Wurm habe sich in den letzten Stunden “außerordentlich vervielfacht und verbreitet”. Laut Norman umgeht der Wurm nicht nur Antiviren- sondern sogar Firewall-Programme. Demnach benutzt der Wurm auch in der Betreff-Zeile eine gängige Meldung von Explorer-Sicherheitslücken, um die Nutzer zur Vorschau oder zum Öffnen der Mail zu animieren.

Lirva.C tritt in verschiedenen Erscheinungsformen mit unterschiedlichen Betreffzeilen, Mailtexten und Attachments auf.

Der Wurm ist auf allen Windows-Systemen lauffähig und wird in aller Regel dann aktiviert, sobald das Attachment beispielsweise in Outlook oder Outlook Express über einen ungepatchten Internet Explorer geöffnet oder in der Vorschau angesehen wird.

An jedem 7., 11. und 24. eines Monats öffnet der Computerwurm die folgende Website: www.avril-lavigne.com und zeigt verschiedene Nachrichten und Bilder an. Trend Micro bietet eigenen Angaben zufolge Schutz ab dem Pattern 435, welches per Download auf der Homepage des Unternehmens erhältlich ist. Norman bietet auch einen Patch zum herunterladen.