Wurm | Klopfzeilen

Der erste April ist nicht nur der internationale Tag, an dem sich die Leute gegenseitig veralbern, sondern hat sich auch zu einem Datum entwickelt, an dem besonders häufig Attacken mit Viren und Würmern gefahren werden.

Wenn Sie ein Antivirenprogramm auf Ihrem Computer haben (was hoffentlich der Fall ist), werden Sie vielleicht eine Mitteilung bekommen haben, dass sich der Hersteller der AV-Software auf den ersten April vorbereitet hat.

Die bisher am 1. April aufgetretenen Attacken sind dieses Jahr nicht unbedingt das Problem – vielmehr machen sich die Experten um den inzwischen auf 10 Millionen PCs befindlichen Wurm Win32/Conficker.A/B/C Sorgen, der in der Lage ist, sich durch eine seit Oktober geschlossene Lücke in RPC zu verbreiten, Spam zu verschicken und das Potenzial des riesigen Botnetzes für DDoS-Attacken auszunutzen.

Um sich vor möglichen Attacken am ersten April zu schützen, sollten Sie sicherstellen, dass

Ihr Antivirenprogramm auf dem aktuellsten Stand ist
Wenigstens die Sicherheitsupdates für Windows installiert wurden
Wenn Sie ein unlizenziertes Windows haben, können Sie den Patch einzeln herunterladen und installieren
Weitere Tipps: “Schützen Sie sich vor Conficker”

Mehr…

Zurzeit sind E-Mails in Umlauf, die in etwa folgenden Text enthalten:

I hope you haven.t been there

Have you seen it? http://io.*******fear.com/

Ruft man die angegebene Adresse auf, sollte sich zuerst der Virenschutz melden – tut er das nicht, ist Ihr Computer möglicherweise schon gefährdet.

Bei deaktiviertem Virenschutz wird diese Seite angezeigt, die bei mir “Schopfheim” als Ort des Anschlags angibt:

Schopfheim ist ein häufig von IP-Tracern erkannter Host in meiner Nähe.

Die Website versucht anhand der IP-Adresse einen Ort zuzuordnen, der dem Besucher der Seite nah ist – der wird jetzt neugierig gemacht und möchte sich eventuell das Video anschauen. Sobald man auf das Fake-Video klickt, bekommt man die Datei run.exe zum Download angeboten, die offensichtlich eine Probe von Win32/Waledac.A (J) enthält.

Eine Auswertung bei Virustotal vor wenigen Minuten ergab, dass nur vier von rund vierzig gängigen Virenscannern diese Datei als schädlich identifizieren können – darunter sind zum Zeitpunkt kurz nach der Verbreitung der Mail: McAffee GW, Norman, Sophos, Symantec.

Auch die Wikipedia hat schnell die Initialtive ergriffen, um vor dem Virus zu warnen. Auf der oben gezeigten Website befindet sich ein Link zum englischsprachigen Eintrag “Dirty Bomb”, darüber wurde die folgende Warnung angebracht:

In den Nachrichten kursiert eine Falschmeldung über einen Anschlag mit einer radiologischen Waffe, der in Madrid, Bangalore, […] oder wo auch immer Ihre IP-Adresse per Geotargeting zugeordnet werden kann, passiert sein soll. Die Website [mit der Falschmeldung] verlinkt zu diesem Artikel. Die Meldung ist nicht echt, das Video und der sogenannte Flash Player fordert Sie auf, die Datei news.exe, contact.exe oder main.exe [oder run.exe] herunterzuladen.

Dateieigenschaften:

Name: run.exe
Größe: 412160 Bytes
MD5: 0b4b5afe46e071e6ac17999e06d5ca44

Klopfzeilen

Buchstaben schlägt man nicht.

Schlagwort-Archive: Wurm

Sind Sie bereit für den 1. April?

Viruswarnung oder Terroranschlag in Ihrer Nähe