CNET.DE | SILICON.DE | ZDNET.DE
BEI ZDNET: Frisch im Regal: neue Handy-Modelle im September
Anzeige
Montag, 6. September 2010 | 03:33 Uhr
Sicherheit
Antivirus
Virenflut

Neue Viren überfluten das Internet

Lutz Pößneck
|
Donnerstag, 27. Januar 2005, 15:42 Uhr
Buzz it

Mit Einfällen für originelle Betreffzeilen geizen die Autoren nicht, auch wenn eine Rechtsschreibprüfung die Glaubwürdigkeit so manchen Köders steigern würde.

Ein Jahr nachdem der Mydoom-Virus zum Angriff auf das Softwareunternehmen SCO geblasen hat, wird das Internet von einer neuen Virenschwemme heimgesucht. Sicherheitsexperten warnen vor den Viren 'Bagle.AX', AY und AZ, 'Cisum.A', 'Mirsa.A', 'Mirsa.B', 'Vidlo.H' sowie 'Windowsupdate.rar'. Die Virenautoren schieben Überstunden und lassen sich immer originellere Ideen einfallen, um ihre Opfer zu ködern.

"Es ist nicht überraschend, das Bedrohungen wie Bagle und MyDoom immer noch aktiv sind, obwohl die erste Entdeckung bereits mehr als ein Jahr zurückliegt", kommentiert Jamz Yaneza, Senior Virus Researcher und Analyst bei Trend Micro. "Die Virenprogrammierer testen kontinuierlich neue Social-Engineering-Methoden und Verbreitungstechniken, um die Infektionsraten ihrer Malicious Codes erneut zu steigern." Zu den wichtigsten Motiven hierfür zählt für Yaneza auch die Rivalität in der Malware-Szene.

Bagle.AX verbreitet sich laut H+BEDV ebenso wie die AY-Variante über E-Mails und Peer-To-Peer-Netze (P2P). Die Malware besitzt eine eigene SMTP-Engine und kann sich so eigenständig an auf der Festplatte gefundene E-Mail-Adressen weiterleiten. Beim Versand über P2P-Netze sucht der Virus auf dem System nach Verzeichnissen, die den Text 'SHAR' enthalten und kopiert sich in diese. Bagle.AX ist in der Lage, Antiviren- oder Firewall-Programme zu beenden.

Für die neueste Bagle-Variante, AZ, hat Trend Micro sogar 'Yellow Alert' ausgelöst. Der Wurm verbreitet sich über infizierte Dateianhänge und tarnt sich als Bestätigung für einen angeblichen E-Mail-Versand oder eine Registrierung. Absenderadressen werden gefälscht (spoofed), so dass beim Anwender der Eindruck entsteht, die Nachricht stamme aus einer seriösen Quelle. Nach der Infektion sammelt Bagle.AZ zusätzliche E-Mail-Adressen, um das befallene System als Ausgangspunkt für die weitere Verbreitung zu nutzen. Darüber hinaus legt der Wurm eine Kopie von sich in öffentlichen Dokumentenordnern ab.

Nach der erfolgreichen Infektion eines Systems beendet Bagle.AZ verschiedene Prozesse, die mit Antivirus- und Sicherheitsprogrammen in Zusammenhang stehen. Darüber hinaus versucht der Wurm, Verbindungen mit bestimmten Websites herzustellen, um JPG-Dateien herunterzuladen. Mit dem Aufruf der Internetadresse verrät sich das System als bereits mit dem Wurm befallen. Bagle.AZ öffnet zudem zufällige TCP-Ports (beginnend mit der Port-Nummer 2339) und hinterlässt so Hintertüren für Virenprogrammierer und Hacker.

Unverschämt kommt der Virus 'Cisum.A' daher. Die Malware blendet den Text 'You are an idiot' ein und spielt alle 5 Sekunden eine gleichlautende MP3-Datei ab. Sie befällt nach Angaben von Panda Software Windows-Netzwerke. Sobald ein Anwender den Virus aktiviert, kopiert dieser sich unter dem Namen 'ProjectX.exe' in das Root-Verzeichnis von lokalen und direkt verbundenen Netzlaufwerken. Der Virus beendet Antiviren-Programme und Firewalls. So stellt er sicher, dass er bei jedem Systemstart wieder aktiviert wird.

Mirsa.A und Mirsa.B geben sich laut Sophos als 'politische Viren'. Die Malware gibt vor, von der britischen Initiative 'Fathers 4 Justice' zu stammen. Das ist ein Zusammenschluss von Vätern, die wollen, dass Kinder nach einer Scheidung Kontakt zu beiden Eltern haben dürfen. Die Viren verbergen sich im Anhang von E-Mails. Klickt ein Anwender darauf, kopieren sich Mirsa.A und Mirsa.B in das Windows-Adressbuch, stören die Arbeit von Maus und Tastatur und versuchen, den Rechner herunterzufahren.

Als Post von der Deutschen Telekom weist sich 'Vidlo.H' aus. Wie bereits 'BILL-T-Com' tarnt sich dieser Trojaner als Telekom-Rechnung. Gefährdet sind Anwender der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003. Der Virus verbreitet sich im Anhang einer E-Mail, die von der Adresse 'Rechnung-Online@t-com.net' stammt. In der Betreffzeile heißt es 'Rechnung Online Monat Februar 2005'. Wird der Anhang der angeblichen Telekomrechnung ausgeführt, lädt Vidlo.H die eigentliche Trojaner-Komponente aus dem Internet nach und führt diese aus. Der Trojaner fügt der Windows Registry Einträge hinzu, damit er beim erneuten Systemstart automatisch gestartet wird.

US-Medien berichten außerdem über einen Trojaner, der sich als Windows-Patch maskiert. Auch hier steckt die Malware mit der Bezeichnung 'Windowsupdate.rar' im Anhang einer E-Mail. In der Betreffzeile ist von einem 'MS Windows/Critical Error' die Rede, der Trojaner gibt sich als Patch in Form einer Windows Archiv-Datei aus.

Diese Malware wird gegenwärtig von Sicherheitsexperten untersucht. Das schlechte Englisch und die Rechtschreibfehler im Inhalt deuten auf einen Autor außerhalb der USA hin. Microsoft betont unterdessen auf seiner Website, dass Software-Updates nie mit einer persönlich adressierten E-Mail angekündigt werde.

Empfehlen
Drucken
Trackback
Fanden Sie diesen Artikel nützlich?
Mehr zum Thema
Aktuelle Nachrichten
 
Anzeige
Ausserdem neu in sicherheit

Spammer stürzen sich auf Apples Ping

Kaum hat Apple sein neues Social Network 'Ping' vorgestellt, schon gerät die Plattform ins Visier von Cyberkriminellen.
03. September 2010

Verschlüsselung für die Cloud

Trend Micro hat auf der Anwenderkonferenz 'VMworld 2010' die Beta-Version der Sicherheitsplattform 'SecureCloud' vorgestellt.
03. September 2010

BSI: Datensicherheit durch Standardisierung

Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), hat für eine stärkere Standardisierung plädiert.
01. September 2010

Verlinkung erfüllt Telemediengesetz

Pflichtangaben nach dem Telemediengesetz müssen auf der eigenen Webseite nicht zwingend abrufbar sein.
31. August 2010

Sicherheitslücken erreichen weltweit Höchststand

IBM X-Force Report 2010: Anzahl der aufgedeckten Schwachstellen stieg im ersten Halbjahr 2010 um 36 Prozent.
26. August 2010

neueste leserkommentare
03. September 2010 | 09:54 Uhr

Umstieg von XP auf W7 ?

Wie Herr Grimm bereits schrieb, kann ich den Umstieg nur empfehlen. Viele Firmen waren sowieso schon leid mit dem W Office Paket zu arbeiten und wählten Open Office. Der Umstieg auf Linux ... Mehr ...

zu Windows 7 poltert ins IT-Budget
03. September 2010 | 09:28 Uhr

Tiefschlaf

Was die auf das eigene Geschäft bedachten deutschen Automobilhersteller möglicherweise übersehen, ist, dass im Massenmarkt der Zukunft - in China - die hierzulande so hoch gehaltene Individualität ... Mehr ...

zu Deutsche Autobauer und die Shai-Agassi-Phobie
02. September 2010 | 16:44 Uhr

Proleten reicht der Privatfunk

Über die Höhe der GEZ-Gebühren läßt sich natürlich streiten, fest steht aber das nur so eine qualitativ anspruchsvolle Berichterstattung gewährleistet werden kann. Die privaten Sender können ... Mehr ...

zu Deutsche finden GEZ-Gebühren zu hoch
Multimedia
Bildergalerien

Das neue Apple TV

Bildergalerien

Im IBM-Museum Sindelfingen

Bildergalerien

Neues von Apple

Bildergalerien

Die VMworld 2010 in Bilder

Bildergalerien

Einblicke in die Geschichte der NASA

  • Artikel
  • Bildergalerien
  • Videos

Meistgeklickt

  1. Was am Homeoffice nervt
  2. VMware: Windows war gestern – VMware ist heute
  3. Deutsche Autobauer und die Shai-Agassi-Phobie
  4. Der neuste Commodore
  5. Patente: Paul Allen holt zum Rundumschlag aus
  6. 3D-Fernsehen ohne Brille
  7. Infineon wird reich und gesund
  8. Microsoft warnt VMware-Kunden vor Verträgen
  9. Digitale Medien verändern das Gehirn
  10. Mittelstand greift verstärkt zu freien ERP-Systemen

Trackbacks und Pingbacks

TrackbackTrackback-URL:

Link zum Artikel setzen bei