Wurm-Ausbruch

Der "Sturm-Wurm" wütet weiter

Schlimmster Schädlings-Ausbruch seit dem Jahr 2005
Von Christian Horn

Ein im Gefolge des Orkans "Kyrill" aufgetauchter Massenmailing-Wurm wird inzwischen als einer der schlimmsten Schädlingsausbrüche seit dem Jahr 2005 beurteilt. Weil die Mails, in deren Anhang sich der Schädling verbreitet, unvorsichtige Nutzer mit reißerischen Betreffzeilen wie der Nachricht von 240 Sturm-Toten zum Öffnen des Anhangs verleiten wollten, taufte das Sicherheits-Unternehmen F-Secure den Schädling scherzhaft "Sturm-Wurm". Der Orkan ist längst abgeflaut - der Sturm-Wurm aber wütet in einem schon lange nicht mehr beobachteten Ausmaß in Internet.

Seit dem Wurm-Ausbruch seien Millionen Exemplare der Wurm-verseuchten Mails durch das Netz geschwappt, berichtet das Sicherheitsunternehmen Symantec [Link entfernt] . Ein Sprecher des Unternehmens erklärte, der letzte Schädling, der sich mit einer vergleichbaren Geschwindigkeit verbreitete, sei Sober.O in Mai 2005 gewesen. Bislang sei noch unklar, wie viele Rechner infiziert wurden.

Wurm-Mail mittlerweile mit dutzenden variierenden Betreff-Zeilen

Nach Angaben von F-Secure verschicken die Angreifer ihre Malware-Mails mittlerweile mit Dutzenden variierenden Betreff-Zeilen. Die Palette reicht hier von Schlagzeilen-Nachrichten wie dem Tod von Staatsoberhäuptern wie Wladimir Putin, Fidel Castro oder Hugo Chavez, Abschüssen von US-Flugzeugen oder -Satelliten durch russische oder chinesische Raketen bis hin zu "romatischen" Mitteilungen wie "For You", "Want to Meet" oder "Moonlit Waterfall". Glücklicherweise waren die Malware-Schreiber bei der Betitelung der Mail-Anhänge nicht so erfindungsreich. Bislang hat F-Secure nur wenige Dateinamen für Schädlings-beladene Anhänge identifiziert: Video.exe, Full Video.exe, Read More.exe, Full Text.exe, Flash Postcard.exe und Full Clip.exe.

Der Programmcode des Schädlings ist in verschiedenen Varianten, auch einer Rootkit-Variante, unterwegs. Angreifbar sind Windows 2000 Windows XP, inzwischen nach Angaben von Symantec auch Windows Server 2003. Bei eingeschaltetem UAC (User Account Control) installiere sich der Schädling nicht auf Windows Vista. Bei Erlaubnis der Installation mit Administrator-Rechten installiere sich der Schädling zwar, könne seine Schadroutinen aber nicht erfolgreich starten. Der Schädling benutzt die infizierten Rechner als Spam-Bots.

Mehr zum Thema Rootkits