Neue Viren überfluten das Internet

Mit Einfällen für originelle Betreffzeilen geizen die Autoren nicht, auch wenn eine Rechtsschreibprüfung die Glaubwürdigkeit so manchen Köders steigern würde.

Ein Jahr nachdem der Mydoom-Virus zum Angriff auf das Softwareunternehmen SCO geblasen hat, wird das Internet von einer neuen Virenschwemme heimgesucht. Sicherheitsexperten warnen vor den Viren ‘Bagle.AX’, AY und AZ, ‘Cisum.A’, ‘Mirsa.A’, ‘Mirsa.B’, ‘Vidlo.H’ sowie ‘Windowsupdate.rar’. Die Virenautoren schieben Überstunden und lassen sich immer originellere Ideen einfallen, um ihre Opfer zu ködern.

“Es ist nicht überraschend, das Bedrohungen wie Bagle und MyDoom immer noch aktiv sind, obwohl die erste Entdeckung bereits mehr als ein Jahr zurückliegt”, kommentiert Jamz Yaneza, Senior Virus Researcher und Analyst bei Trend Micro. “Die Virenprogrammierer testen kontinuierlich neue Social-Engineering-Methoden und Verbreitungstechniken, um die Infektionsraten ihrer Malicious Codes erneut zu steigern.” Zu den wichtigsten Motiven hierfür zählt für Yaneza auch die Rivalität in der Malware-Szene.

Bagle.AX verbreitet sich laut H+BEDV ebenso wie die AY-Variante über E-Mails und Peer-To-Peer-Netze (P2P). Die Malware besitzt eine eigene SMTP-Engine und kann sich so eigenständig an auf der Festplatte gefundene E-Mail-Adressen weiterleiten. Beim Versand über P2P-Netze sucht der Virus auf dem System nach Verzeichnissen, die den Text ‘SHAR’ enthalten und kopiert sich in diese. Bagle.AX ist in der Lage, Antiviren- oder Firewall-Programme zu beenden.

Für die neueste Bagle-Variante, AZ, hat Trend Micro sogar ‘Yellow Alert’ ausgelöst. Der Wurm verbreitet sich über infizierte Dateianhänge und tarnt sich als Bestätigung für einen angeblichen E-Mail-Versand oder eine Registrierung. Absenderadressen werden gefälscht (spoofed), so dass beim Anwender der Eindruck entsteht, die Nachricht stamme aus einer seriösen Quelle. Nach der Infektion sammelt Bagle.AZ zusätzliche E-Mail-Adressen, um das befallene System als Ausgangspunkt für die weitere Verbreitung zu nutzen. Darüber hinaus legt der Wurm eine Kopie von sich in öffentlichen Dokumentenordnern ab.

Nach der erfolgreichen Infektion eines Systems beendet Bagle.AZ verschiedene Prozesse, die mit Antivirus- und Sicherheitsprogrammen in Zusammenhang stehen. Darüber hinaus versucht der Wurm, Verbindungen mit bestimmten Websites herzustellen, um JPG-Dateien herunterzuladen. Mit dem Aufruf der Internetadresse verrät sich das System als bereits mit dem Wurm befallen. Bagle.AZ öffnet zudem zufällige TCP-Ports (beginnend mit der Port-Nummer 2339) und hinterlässt so Hintertüren für Virenprogrammierer und Hacker.

Unverschämt kommt der Virus ‘Cisum.A’ daher. Die Malware blendet den Text ‘You are an idiot’ ein und spielt alle 5 Sekunden eine gleichlautende MP3-Datei ab. Sie befällt nach Angaben von Panda Software Windows-Netzwerke. Sobald ein Anwender den Virus aktiviert, kopiert dieser sich unter dem Namen ‘ProjectX.exe’ in das Root-Verzeichnis von lokalen und direkt verbundenen Netzlaufwerken. Der Virus beendet Antiviren-Programme und Firewalls. So stellt er sicher, dass er bei jedem Systemstart wieder aktiviert wird.

Mirsa.A und Mirsa.B geben sich laut Sophos als ‘politische Viren’. Die Malware gibt vor, von der britischen Initiative ‘Fathers 4 Justice’ zu stammen. Das ist ein Zusammenschluss von Vätern, die wollen, dass Kinder nach einer Scheidung Kontakt zu beiden Eltern haben dürfen. Die Viren verbergen sich im Anhang von E-Mails. Klickt ein Anwender darauf, kopieren sich Mirsa.A und Mirsa.B in das Windows-Adressbuch, stören die Arbeit von Maus und Tastatur und versuchen, den Rechner herunterzufahren.

Als Post von der Deutschen Telekom weist sich ‘Vidlo.H’ aus. Wie bereits ‘BILL-T-Com’ tarnt sich dieser Trojaner als Telekom-Rechnung. Gefährdet sind Anwender der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003. Der Virus verbreitet sich im Anhang einer E-Mail, die von der Adresse ‘Rechnung-Online@t-com.net’ stammt. In der Betreffzeile heißt es ‘Rechnung Online Monat Februar 2005’. Wird der Anhang der angeblichen Telekomrechnung ausgeführt, lädt Vidlo.H die eigentliche Trojaner-Komponente aus dem Internet nach und führt diese aus. Der Trojaner fügt der Windows Registry Einträge hinzu, damit er beim erneuten Systemstart automatisch gestartet wird.

US-Medien berichten außerdem über einen Trojaner, der sich als Windows-Patch maskiert. Auch hier steckt die Malware mit der Bezeichnung ‘Windowsupdate.rar’ im Anhang einer E-Mail. In der Betreffzeile ist von einem ‘MS Windows/Critical Error’ die Rede, der Trojaner gibt sich als Patch in Form einer Windows Archiv-Datei aus.

Diese Malware wird gegenwärtig von Sicherheitsexperten untersucht. Das schlechte Englisch und die Rechtschreibfehler im Inhalt deuten auf einen Autor außerhalb der USA hin. Microsoft betont unterdessen auf seiner Website, dass Software-Updates nie mit einer persönlich adressierten E-Mail angekündigt werde.