E-Mail-Wurm Nyxem

Zur Zeit verbreitet sich ein neuer Internet Wurm über E-Mails mit rasanter Geschwindigkeit. Er besitzt eine eigene smtp engine und verschickt sich an alle Adressen, die er auf dem infezierten Rechner findet. Dazu versucht er sich zusätlich in ungeschützten oder mit schwachen Passwörtern geschützten Windows
Freigaben unter dem Namen WINZIP_TMP.EXE zu kopieren.

Dazu versucht der Wurm bekannte Antiviren Programme auf dem System außer gefecht zu setzen, was die dringen Aktualisierung der Antiviren Pattern noch wichtiger macht

Der Wurm besitzt schon jetzt sehr viele Varianten und wird nicht in allen Mutationen von Antiviren Programmen gefunden. Er ist unter diesen Namen bekannt:

W32/Nyxem-D [Sophos]
Troj/KillAV.GR [H+BEDV]
W32/MyWife.d@MM [McAfee]
WORM_GREW.A [Trend Micro]
Nyxem.E [F-SECURE]
Kama Sutra, W32.Blackmal.E@mm, W32/MyWife.d@MM, Email-Worm.Win32.Nyxem.e und andere..

Der Wurm besitzt eine Schadensroutine, die am 3ten jeden Monats alle Dateien mit folgender Endung DOC, XLS, MDB, MDE, PPT, PPS, ZIP, RAR, PDF, PSD und DMP mit dem Inhalt DATA Error [47 0F 94 93 F4 K5].

BSI nennt einige Dateinamen und Betreff Zeilen unter dennen sich der Wurm verbreitet: http://www.heise.de/security/artikel/68500

Die Antiviren Hersteller stellen Entfernung Tools bereit, die aber nicht bei weitem alle Mutationen des Wurms abdecken:

F-Secure.com gemeldet, werden viele Versionen des Wurms schon ab 20.01.2005 erkannt. Allen die keine automatische Updates vom Antivirus Programm erhalten, wird dringend empfohlen diese zu aktualisieren, da der Wurm eventuell in der Lage ist solche unwirksam zu machen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.