Antivirenhersteller wie Kaspersky und F-Secure gehen mittlerweile von einer massiven Anzahl an infizierten PCs aus, mit weiter steigender Tendenz (tecCHANNEL berichtete). Der Wurm ist eine an eine E-Mail angehängte ausführbare Windows-Datei mit einer Größe von 95 KByte.
Die Aktivierung des Schadcode erfolgt beim Start der infizierten Datei durch den Nutzer. Nach dem Start versteckt der Wurm seine Hauptfunktion, indem er im Windows-Verzeichnis ein ZIP-Archiv mit der Bezeichnung der ursprünglich gestarteten Datei erstellt, das er danach öffnet. Bei der Installation kopiert sich der Wurm unter mehreren Namen in das Root- und Windows-Systemverzeichnis sowie in das Autostart-Verzeichnis. Danach registriert er sich im Autostart-Key der System-Registry. Auf diese Weise aktiviert Windows bei jedem Neustart automatisch den Schadcode.
Dabei unterbricht das Schadprogramm alle Prozesse, die den Antivirenschutz des Computers gewährleisten, und verhindert deren Neustart - dadurch ist der attackierte PC ohne Schutz. Durch die vollständige Kontrolle über den Rechner ist Nyxem.E in der Lage, seine eigenen Aktualisierungen selbstständig aus dem Internet herunterzuladen. Er verändert sich dabei ganz nach den Vorgaben des Autors.
Angriff auf Office-Dateien
Anschließend scannt Nyxem.e das Dateisystem des befallenen Computers und verschickt Kopien von sich selbst an alle dort aufgefundenen E-Mail-Adressen. Für den Versand der infizierten E-Mails versucht der Wurm eine direkte Verbindung mit dem SMTP-Server aufzubauen. Parallel dazu kopiert er sich in die vom befallenen Computer aus zugänglichen Netzlaufwerke und -ordner unter dem Namen Winzip_TMP.exe.
Richtig gefährlich wird der Wurm jeweils am Dritten eines Monats. Dann startet er den Prozess Update.exe, der die verschiedenen Verzeichnisse nach Dateien vom Typ doc, xls, mdb, mde, ppt, pps, zip, rar, pdf, psd und dmp sucht und den Inhalt der Dateien zerstört. Damit kann der Wurm massiven Schaden anrichten, schließlich gehören die Dateien zu bekannten Programmen wie Microsoft Word und Excel oder Adobe Photoshop.
"Ich bitte alle Computeranwender, ein paar einfache Schutzmaßnahmen zur Verhinderung einer Infektion durch diesen - und jeden anderen - Wurm zu ergreifen: Aktivieren Sie keine unbekannten, unerwarteten E-Mail-Anhänge, aktualisieren Sie die Antivirus-Signaturen Ihres installierten Antivirenschutzes auf dem PC und führen Sie einen Komplett-Scan Ihres Rechners durch", rät Eugene Kaspersky, Leiter der Antiviren-Forschung bei Kaspersky Lab. (mja)
|
Links zum Thema IT-Sicherheit |
Angebot |
|---|---|
|
Bookshop |
|
|
eBooks (50 % Preisvorteil) |
|
|
Software-Shop |