Zur Zeit verbreitet sich ein neuer Internet Wurm über E-Mails mit rasanter Geschwindigkeit. Er besitzt eine eigene smtp engine und verschickt sich an alle Adressen, die er auf dem infezierten Rechner findet. Dazu versucht er sich zusätlich in ungeschützten oder mit schwachen Passwörtern geschützten Windows
Freigaben unter dem Namen WINZIP_TMP.EXE zu kopieren.
Dazu versucht der Wurm bekannte Antiviren Programme auf dem System außer gefecht zu setzen, was die dringen Aktualisierung der Antiviren Pattern noch wichtiger macht
Der Wurm besitzt schon jetzt sehr viele Varianten und wird nicht in allen Mutationen von Antiviren Programmen gefunden. Er ist unter diesen Namen bekannt:
W32/Nyxem-D [Sophos]
Troj/KillAV.GR [H+BEDV]
W32/MyWife.d@MM [McAfee]
WORM_GREW.A [Trend Micro]
Nyxem.E [F-SECURE]
Kama Sutra, W32.Blackmal.E@mm, W32/MyWife.d@MM, Email-Worm.Win32.Nyxem.e und andere..
Der Wurm besitzt eine Schadensroutine, die am 3ten jeden Monats alle Dateien mit folgender Endung DOC, XLS, MDB, MDE, PPT, PPS, ZIP, RAR, PDF, PSD und DMP mit dem Inhalt DATA Error [47 0F 94 93 F4 K5].
BSI nennt einige Dateinamen und Betreff Zeilen unter dennen sich der Wurm verbreitet: http://www.heise.de/security/artikel/68500
Die Antiviren Hersteller stellen Entfernung Tools bereit, die aber nicht bei weitem alle Mutationen des Wurms abdecken:
- Entfernungs-Tool von Symantec
- sysclean.com von Trend Micro
- Benötigtes Patternfile von Trend Micro, muss in dasselbe Verzeichnis wie sysclean.com entpackt werden
- Beschreibung des Wurmes vom BSI
F-Secure.com gemeldet, werden viele Versionen des Wurms schon ab 20.01.2005 erkannt. Allen die keine automatische Updates vom Antivirus Programm erhalten, wird dringend empfohlen diese zu aktualisieren, da der Wurm eventuell in der Lage ist solche unwirksam zu machen!