Zurzeit sind E-Mails in Umlauf, die in etwa folgenden Text enthalten:

I hope you haven.t been there

Have you seen it? http://io.*******fear.com/

Ruft man die angegebene Adresse auf, sollte sich zuerst der Virenschutz melden – tut er das nicht, ist Ihr Computer möglicherweise schon gefährdet.

Bei deaktiviertem Virenschutz wird diese Seite angezeigt, die bei mir “Schopfheim” als Ort des Anschlags angibt:

Schopfheim ist ein häufig von IP-Tracern erkannter Host in meiner Nähe.

Die Website versucht anhand der IP-Adresse einen Ort zuzuordnen, der dem Besucher der Seite nah ist – der wird jetzt neugierig gemacht und möchte sich eventuell das Video anschauen. Sobald man auf das Fake-Video klickt, bekommt man die Datei run.exe zum Download angeboten, die offensichtlich eine Probe von Win32/Waledac.A (J) enthält.

Eine Auswertung bei Virustotal vor wenigen Minuten ergab, dass nur vier von rund vierzig gängigen Virenscannern diese Datei als schädlich identifizieren können – darunter sind zum Zeitpunkt kurz nach der Verbreitung der Mail: McAffee GW, Norman, Sophos, Symantec.

Auch die Wikipedia hat schnell die Initialtive ergriffen, um vor dem Virus zu warnen. Auf der oben gezeigten Website befindet sich ein Link zum englischsprachigen Eintrag “Dirty Bomb”, darüber wurde die folgende Warnung angebracht:

In den Nachrichten kursiert eine Falschmeldung über einen Anschlag mit einer radiologischen Waffe, der in Madrid, Bangalore, […] oder wo auch immer Ihre IP-Adresse per Geotargeting zugeordnet werden kann, passiert sein soll. Die Website [mit der Falschmeldung] verlinkt zu diesem Artikel. Die Meldung ist nicht echt, das Video und der sogenannte Flash Player fordert Sie auf, die Datei news.exe, contact.exe oder main.exe [oder run.exe] herunterzuladen.

Dateieigenschaften:

Name: run.exe
Größe: 412160 Bytes
MD5: 0b4b5afe46e071e6ac17999e06d5ca44