folgende nachricht erreichte mich eben von einem rt.de user:
Postkartengruß mit Wurm
Seit einigen Stunden verbreitet sich der Wurm Nurech.A alias
Downloader.Tibs alias Zhelatin.r alias Tibs.JR alias Mixor.Q massiv.
Der Antiviren-Hersteller Panda hat deshalb bereits Alarmstufe Orange
ausgerufen, in der Verbreitungsstatistik von F-Secure nimmt der Neue
ebenfalls bereits die Spitzenposition ein und auch auf dem
Heise-Mail-Server sind bereits über 300 Exemplare aufgeschlagen. Anders
als die Rechnungs-[1] und BKA-Trojaner[2] der letzten Wochen wird
dieser Wurm anscheinend nicht über Bot-Netze verteilt, sondern
verbreitet sich selbstständig an Adressen, die er auf den Rechnern
seiner Opfer findet.
Der Betreff der Wurmmail wechselt, bislang sind jedoch alle in englisch
gehalten; Text hat sie keinen. Dafür hängt eine Datei an, die
typischerweise Postcard.exe oder ähnlich heißt.
Der Anwender muss sie trotz aller Warnungen öffnen, um die
Schadfunktion auszulösen. Panda schreibt dem Windows-Wurm
Rootkit-Funktionen zu, die es schwer machen ihn anschließend
aufzuspüren und zu entfernen.
Wie der angeführte Namenswirrwarr schon andeutet, haben die
Antiviren-Hersteller nicht geschlafen und stellen bereits passende
Signaturen bereit. Mit Ausnahme von McAfee und CA erkennen die großen
Hersteller den Schädling bereits. Das Common Malware Enumeration
Projekt[4], eigentlich angetreten[5], die Schädlinge zumindest einmal
mit einheitlichen Kennziffern zu versehen, hat bisher jedoch noch nicht
reagiert.
Siehe dazu auch:
Virenbeschreibung zu Nurech.A[6] von Panda
(ju[7]/c't)
URL dieses Artikels:
http://www.heise.de/newsticker/meldung/84889http://www.heise.de/newsticker/meldung/84889
Links in diesem Artikel:
[1] http://www.heise.de/security/news/meldung/83672http://www.heise.de/security/news/meldung/83672
[2] http://www.heise.de/security/news/meldung/84613http://www.heise.de/security/news/meldung/84613
[3] /bilder/84889/0/1
[4] http://cme.mitre.org/http://cme.mitre.org/
[5] http://www.heise.de/security/news/meldung/64279http://www.heise.de/security/news/meldung/64279
[6]
http://www.pandasoftware.com/com/virus_info/encyclopedia/overview.aspx?IdVirhttp://www.pandasoftware.com/com/virus_info/encyclopedia/overview.aspx?IdVir
us=149000&sind=0&sitepanda=particulares
[7] mailto:ju@ct.heise.de