Warnung vor E-Mail-Wurm

Warnung vor E-Mail-Wurm "Sobig.F"

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte gestern in Bonn vor einem neuen gefährlichen Computer-Wurm, der in E-Mails als Datei-Anhang verschickt wird. Es werden dabei E-Mail-Adressen verwendet, die auf infizierten Computern gefunden wurden, dabei ist der eigentliche Absender gefälscht. Sobig trat in seiner Urform bereits am 21. Mai diesen Jahres auf und erscheint seit dem immer wieder in neuen Varianten, zuletzt Ende Juni mit "Sobig.E".

Betroffen sind alle gängigen Windows-Betriebssysteme. "Sobig.F" hat innerhalb nur weniger Stunden offensichtlich bereits Tausende von Rechnern infiziert, wie aus dem Mail-Aufkommen mit diesem Wurm hervorgeht, meldet das BSI weiter. Aktiviert wird der schmutzige Code durch einen Doppelklick auf den Datei-Anhang. Der englische Text der E-Mail lautet dabei: "See the attached file for details" oder "Please see the attached file for details". Aktualisierte Viren-Schutzprogramme erkennen mittlerweile dieses Schadprogramm.

Das BSI rät, bei E-Mails auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern immer zu prüfen, ob der Text der Nachricht auch zum Absender passt. So macht ein englischer Text von einem deutschen Kontakt keinen Sinn. Auch ein zweifelhafter Text oder ein fehlender Bezug zu konkreten Vorgängen sollte misstrauisch machen. Unerwartet empfangene Attachment sollten nicht geöffnet werden.

Zugleich sind neue Blaster-Wurm-Varianten aufgetaucht: Ein weiterer Wurm verbreitet sich über E-Mail auf allen gängigen Windows-Plattformen. Die falsche Absender-Adresse lautet "security@microsoft.com" und behauptet, im Anhang einen wichtigen Microsoft-Patch zu beinhalten. Das Ausführen des Anhangs liefert nicht wie erwartet den Patch, sondern den Wurm Dumaru. Die Verbreitung des Wurms ist sehr hoch, da viele Anwender, die durch den Blaster-Wurm verunsichert sind, den Anhang aktiviert haben.

Das BSI warnt dringend davor, solche Anhänge zu öffnen, da sie Schadfunktionen enthalten können. Microsoft verschickt grundsätzlich keine ausführbaren Dateien oder Patches per E-Mail. (as)

Derzeit müssen die Antivirenspezialisten zweimal täglich neue Warnungen versenden. Die neue Variante „F“ des Sobig-Wurms hat am Dienstag große Teile der USA infiziert, jetzt kommt das Würmchen auch nach Europa.

Nachtrag:
19.08.2003 - Sobig-F verbreitet sich sowohl per Mail als auch über freigegebene Netzwerkverbindungen. TrendMicro und Sophos gaben Alarmstufe rot, denn die neue Variante des alten Schädlings verstopft Netzwerke und missbraucht die Absender-Adresse des infizierten Computers für seine Zwecke.

Während noch immer viele Nutzer von Blaster betroffen sind, ist die Aufmerksamkeit für andere Schädlinge verringert. Das machen sich die Viren-Schreiberlinge zunutze. Einige gehen noch weiter, und so gibt es mittlerweile schon zwei angebliche Microsoft-Patches, die als Mail durchs Netz schwirren und Schaden anrichten. Graybird und Dumaru wurden sie genannt, doch auf ihre Dateianhänge sollte man keinesfalls klicken.

Ein tägliches Upgrade des Antivirenprogramms ist in der derzeitigen Situation anzuraten. Wer kein Antivirenprogramm sein eigen nennt, kann mit einem kostenlosen Entfernungstool von Sophos aufräumen: http://www.sophos.com/misc/sobigsfx.exe entfernt die neue Sobig-Variante. (mk)

[ Diese Nachricht wurde geändert von: Jornbyte am 20 Aug 2003 11:09 ]