Cleverer Wurm kann vertrauliche Daten versenden
20. Juli 2001
Seit Dienstag bekannt und noch nicht sehr weit verbreitet, aber potentiell gefährlich ist ein neuer Wurm namens W32.Sircam. Er wird durch das Öffnen von Mail-Attachments aktiviert und kann Dateien auf der Festplatte löschen. In der Betreffzeile einer infizierten Mail ist der Name des angehängten, verseuchten Dokuments zu finden.
Die Dateinamen tragen dabei immer doppelte Endungen, etwa ".doc.exe" oder ".zip.com". Der Text der Mail variiert, immer gleich ist aber der Eingangsatz in Englisch oder Spanisch: "Hi! How are you?" oder ""Hola como estas?". Nachdem das Attachment ausgeführt wurde, kopiert der Wurm eine Datei namens "sirc32.exe" ins Verzeichnis "C.\recycled" sowie eine Datei namens "scam32.exe" ins Windows-Systemverzeichnis und verändert die Registry.
Danach wird der Wurm immer dann aufgerufen, wenn ein Programm gestartet oder das System neu hochgefahren wird, was die Bekämpfung von W32.Sircam schwierig macht. W32.Sircam kommt mit einer eigenen SMTP-Engine und ist für seine Verbreitung damit nicht auf die üblichen Mail-Programme angewiesen. Als Anhang verschickt der Wurm jeweils eine zufällig gewählte Datei von der lokalen Festplatte.
Dadurch könnten Geschäftspartner oder Konkurrenten an vertrauliche Unterlagen gelangen, auch wenn sie dies durch die Virenverseuchung kaum bemerken dürften. Sicher ist aber, dass die Informationen in den verschickten Dateien weiterhin lesbar sind. Von einer Epidemie kann bisher laut den Virenprofis von Symantec nicht gesprochen werden. Eine Anleitung zur Desinfizierung eines befallenen Systems ist auf deren Website zu finden. (IW)
Die Dateinamen tragen dabei immer doppelte Endungen, etwa ".doc.exe" oder ".zip.com". Der Text der Mail variiert, immer gleich ist aber der Eingangsatz in Englisch oder Spanisch: "Hi! How are you?" oder ""Hola como estas?". Nachdem das Attachment ausgeführt wurde, kopiert der Wurm eine Datei namens "sirc32.exe" ins Verzeichnis "C.\recycled" sowie eine Datei namens "scam32.exe" ins Windows-Systemverzeichnis und verändert die Registry.
Danach wird der Wurm immer dann aufgerufen, wenn ein Programm gestartet oder das System neu hochgefahren wird, was die Bekämpfung von W32.Sircam schwierig macht. W32.Sircam kommt mit einer eigenen SMTP-Engine und ist für seine Verbreitung damit nicht auf die üblichen Mail-Programme angewiesen. Als Anhang verschickt der Wurm jeweils eine zufällig gewählte Datei von der lokalen Festplatte.
Dadurch könnten Geschäftspartner oder Konkurrenten an vertrauliche Unterlagen gelangen, auch wenn sie dies durch die Virenverseuchung kaum bemerken dürften. Sicher ist aber, dass die Informationen in den verschickten Dateien weiterhin lesbar sind. Von einer Epidemie kann bisher laut den Virenprofis von Symantec nicht gesprochen werden. Eine Anleitung zur Desinfizierung eines befallenen Systems ist auf deren Website zu finden. (IW)
Artikel kommentieren
