Nyxem.E - erste Angriffswelle startet am Freitag

Das neue, inzwischen weite verbreitete Schadprogramm Nyxem.E verbreitet sich als E-Mail-Anhang via Internet sowie über infizierte Dateien, die sich auf Internet-Seiten befinden. Die Besonderheit an Nyxem.E besteht darin, dass er die Dateien auf infizierten Rechnern jeweils am Dritten eines Monats beschädigt.

Antivirenhersteller wie Kaspersky und F-Secure gehen mittlerweile von einer massiven Anzahl an infizierten PCs aus, mit weiter steigender Tendenz (tecCHANNEL berichtete). Der Wurm ist eine an eine E-Mail angehängte ausführbare Windows-Datei mit einer Größe von 95 KByte.

Die Aktivierung des Schadcode erfolgt beim Start der infizierten Datei durch den Nutzer. Nach dem Start versteckt der Wurm seine Hauptfunktion, indem er im Windows-Verzeichnis ein ZIP-Archiv mit der Bezeichnung der ursprünglich gestarteten Datei erstellt, das er danach öffnet. Bei der Installation kopiert sich der Wurm unter mehreren Namen in das Root- und Windows-Systemverzeichnis sowie in das Autostart-Verzeichnis. Danach registriert er sich im Autostart-Key der System-Registry. Auf diese Weise aktiviert Windows bei jedem Neustart automatisch den Schadcode.

Dabei unterbricht das Schadprogramm alle Prozesse, die den Antivirenschutz des Computers gewährleisten, und verhindert deren Neustart - dadurch ist der attackierte PC ohne Schutz. Durch die vollständige Kontrolle über den Rechner ist Nyxem.E in der Lage, seine eigenen Aktualisierungen selbstständig aus dem Internet herunterzuladen. Er verändert sich dabei ganz nach den Vorgaben des Autors.