Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-15

Neuer, selbstaktualisierender Emailwurm 'Sonic'
(2000-11-02 17:38:58+00)

Quelle: http://www.kaspersky.com/news.asp?tnews=0&nview=1&id=130&page=0

Ein russischer Antivirus-Software-Hersteller berichtet, daß in Frankreich und Deutschland ein neuer Emailwurm entdeckt wurde, der die Fähigkeit besitzen soll, sich selbst zu aktualisieren.

Heises Newsticker und der russische Antivirus-Software-Hersteller Kaspersky berichten, daß ein neuer Emailwurm 'in the wild' entdeckt wurde, der die Fähigkeit besitzen soll, seine Schadroutine nach Infektion eines neuen Systems zu aktualisieren.

Betroffene Systeme
Microsoft Betriebssysteme

Bedrohungspotential
mittel bis beliebig hoch (!)

Beschreibung
Spätestens am vergangenen Montag (2000-10-10) wurde der neue Emailwurm in Deutschland und Frankreich entdeckt. Das besondere an diesem Wurm ist die Fähigkeit, sich selbst zu aktualisieren. Wie für einen Emailwurm typisch, verbreitet sich das Programm über Email, indem es das Windows address book (WAB) nach Emailadressen durchsucht und sich selbst an diese verschickt. Die infizierten Nachrichten kommen dann bei den potentiell neuen Opfern als Nachrichten von einem bekannten Absender an, was üblicherweise mehr Vertrauen bei den Empfängern erzeugt, als wenn eine Nachricht von einem Fremden kommt. Auch werden dann meistens ausführbaren Inhalte, die als Attachment mitgeschickt werden, argloser entgegengenommen und ggf. auch ausgeführt.
Sonic schickt nur eine Laderoutine

GIRLS.EXE
oder
LOVERS.EXE
(andere Namen sind nicht ausgeschlossen), die nach Aktivierung (durch Doppelklick des neugierigen Benutzers) zunächst eine Verbindung zu einem Server (bekannt ist bis dato ein Geocities-Server) herstellt, die aktuellste Schadroutine herunterlädt und installiert.
Die aktuellen Versionen dieser Schadroutine scheinen nur die Aktivitäten des Benutzers auszuspionieren und Hintertüren für eine 'Fernwartung' des infizierten Systems zu installieren.
Da die Schadroutine aber jederzeit geändert werden kann, ist das Bedrohungspotential des Wurmes kaum abzuschätzen.

Gegenmaßnahmen
Ausführbare Inhalte, die als Attachments in Emails ankommen, sollten grundsätzlich nicht ausgeführt werden, ohne daß ihre Vertrauenswürdigkeit sichergestellt ist. Eine solche Sicherstellung kann zum Beispiel eine gültige OpenPGP-Signatur von einem bekannten und/oder zertifizierten Schlüssel sein. (og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=15