Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-21

[MS/Outlook] Neuer 'Weihnachts'-Emailwurm breitet sich in Amerika aus (UPDATE)
(2000-11-13 15:52:44+00)

Quelle: http://www.securityfocus.com/news/113

Ein neuer Emailwurm namens 'Navidad' (span. Weihnachten) breitet sich in Süd-, Mittel- und bereits auch in Nordamerika aus. Erste Sichtungen wurden nun auch aus Deutschland gemeldet.

Secirityfocus.com berichtet von einem neuen Emailwurm, der sich, aus Südamerika kommend, nun auch in Nordamerika breitmacht. Es wird nur eine Frage der Zeit sein, bis er Europa erreicht hat. NAI's McAfee Anti Virus Team hat den Wurm mittlerweile als mittelgefährlich klassifiziert und Gegenmaßnahmen publiziert.

Betroffene Systeme
Microsoft Outlook

Gefahrenpotential
Mittel (siehe http://vil.nai.com/vil/virusRemovalInstructions.asp?virus_k=98881)

Beschreibung
Der Wurm verbeitet sich als Emailreply auf Nachrichten, die in der Mailbox eines infizierten Rechners ankommen. Diese Eigenschaft unterscheidet ihn deutlich von den Würmern, die in der letzten Zeit unterwegs waren. Die Malware befindet sich in einem Attachment namens

navidad.exe
und muß durch den Benutzer aktiviert werden. Sie installiert sich danach im system tray, wo sie dann neben der Uhr als ikonifiziertens blaues Auge erscheint. Klickt man darauf, erscheint ein Button mit dem Text "Nunca presionar este boton", was soviel heisst wie 'Drücken Sie niemals diesen Button'. Drückt das störrische Opfer dennoch, so erscheint ein Fenster mit dem Titel "Feliz Navidad" ('Frohe Weihnachten') und dem Text "Lamentablemente cayo en la tentacion y perdio su computadora" ('Unglücklicherweise erlagen sie der Versuchung und verlieren nun Ihren Computer').

Offenbar scheint der angerichtete Schaden trotz der vollmundigen Ankündigung nicht so gravierend zu sein: die Malware verursacht intendiert keinen Schaden, ein Bug im Code der Schadroutine verändert die Systemregistry aber so, daß die meisten Programme mit einem .exe Attachment nicht mehr ausgeführt werden können.

Gegenmaßnahmen
siehe http://vil.nai.com/vil/virusRemovalInstructions.asp?virus_k=98881

Fazit
Man darf gespannt sein, ob sich der Wurm auch in Europa ausbreitet, da die 'Geschäftssprache' der Malware spanisch ist. Allerdings hat in der Vergangenheit die Neugier vieler Benutzer die Vorsicht überwogen...
Außerdem könnte die Verbreitungsart des Wurmes - solange er aktiv ist beantwortet er alle eingehenden Emailnachrichten mit einer Kopie von sich selbst - zu unerwartet schneller und starker Verbreitung führen. In dieser Eigenschaft des Wurmes liegt auch das größte Gefahrenpotential: Bekommt ein Benutzer prompte Antwort auf eine soeben an eine (natuerlich ihm bekannte) Person wird er wahrscheinlich weniger Verdacht schöpfen als wenn er unerwartet eine Nachricht mit ausführbaren Attachment erhält. Auch verbreitet sich der Wurm während seiner gesamten Lebenszeit auf einem infizierten System weiter und nicht nur einmal zum Zeitpunkt der Infektion an das gesamte Outlookadreßbuch.

[Update]
Laut Heises Newsticker breitet sich der Wurm nun auch in Deutschland aus. (og)


Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=21