Neuer Schädling bedroht Windows-Systeme
Wurm kommt als .PIF-Attachment vorgeblich von Microsoft
Wien (pte, 19. Mai 2003 12:14) - Der Wiener Anti-Viren-Spezialist Ikarus http://www.ikarus-software.at schlägt Alarm. Ein brandneuer Wurm feiert derzeit fröhliche Urständ' und dürfte in den nächsten Stunden tausende Windows-Systeme befallen. Er kommt per E-Mail-Attachment mit .PIF- oder .PI-Ednung und ist etwa 50KB groß, allerdings wird in vielen Windows-Installationen die Dateiendung nicht angezeigt. International wurde er auf zwei verschiedene Namen getauft, "Palyh" und "Mankx". "Wir haben innerhalb weniger Minuten 100 infizierte Mails erhalten", berichtet Ikarus-CEO Joe Pichlmayr, "Das droht ein Großer zu werden. Ich gehe davon aus, dass wir in Kürze einige Tausend infizierte Mails abgefangen haben werden."
Der Schädling nutzt keine Sicherheitslücke in der Systemsoftware, sondern mangelndes Gefahrenbewusstsein von Usern aus: Er kann nur durch Öffnen des Attachments aktiviert werden. Um die User dazu zu verleiten, tarnt er sich mit der Absenderadresse "support@microsoft.com" als Nachricht aus Redmond. Subject- und Attachment-Bezeichnung sind variabel. Ist Palyh einmal aktiviert, bringt er seine eigene Versandroutine mit, ist also nicht auf das Vorhandensein bestimmter E-Mail-Software angewiesen. Laut Pichlmayr verteilt sich der in der vergangenen Nacht erstmals aufgetauchte Virus gerade über den gesamten Globus. Auch in der pressetext.austria-Redaktion sind bereits Exemplare eingetrudelt, die vom Virenschutz aber identifiziert werden konnten.
Der Wurm durchsucht im infizierten System alle Dateien mit den Endungen .TXT, .EML, .HTML, .HTM, .DBX und .WAB und verschickt sich an alle darin enthaltenen E-Mail-Adressen. Außerdem verteilt er sich über Netzwerke, an die der infizierte PC angeschlossen ist. Er versucht sich in das Auto-Start-Verzeichnis aller angebundenen Windows-Systeme zu kopieren. Darüber hinaus schreibt er neue Einträge in die Registry und dokumentiert die Liste aller E-Mail-Adressen, an die er sich versandt hat, in einer "hnks.ini" genannten Datei im Windows-Verzeichnis. Eine Datei namens "mdbrr.ini" im gleichen Verzeichnis speichert die Konfiguration des Wurmes.
Wie auch der Fizzer-Wurm http://www.pte.at/pte.mc?pte=030513041 , der es als erster Schädling nach einem Jahr geschafft hatte, Klez.H von der Spitze der Virenrangliste zu vertreiben, verfügt Palyh über eine Updatefunktion. Er kann sich bis Ende Mai selbst durch den Aufruf einer bestimmten Website aktualisieren und dadurch potenziell zusätzliche Schadensroutinen erhalten.
Die Tips von Virendoktor Pichlmayr: "Stehen Sie jedem ausführbaren Dateianhang kritisch gegenüber. Löschen Sie Attachments im Zweifelsfall. Starten Sie keine Attachments ohne diese vorher auf Viren geprüft zu haben. Und aktualisieren Sie die Virendefinitionen ihrer Anti-Viren-Software regelmäßig." Die großen Antivirensoftware-Hersteller bieten bereits entsprechende Downloads an.
Quelle: Pressetext Austria, erschienen am 19.5.2003
Der Artikel wurde 157 mal gelesen
|