Kaspersky warnt vor I-Update-Wurm

Antivirenhersteller Kaspersky Labs warnt vor einem neuen Internet-Wurm namens I-Worm.Updater. Verbreitet über Microsoft-Outlook versucht der Wurm Kopien aller EXE, DOC und VBS-Dateien anzulegen, die dann den Code enthalten.

Der Wurm selbst ist laut Kaspersky in VBS geschrieben und steckt, ähnlich wie Gone-A, in einer UPX-komprimierten 12 KByte großen EXE-Datei. Damit Benutzer die Datei ausführen, verspricht die englischsprachige Mail wahlweise Porno-Bilder, Programme, Patches, Dokumente und unter anderem auch einen Bank-Account.

Den Betreff der Mail setzt I-Updater als Täuschungsmanöver zufällig aus vorgefertigten Formulierungen modular zusammen. Gewählt wird aus vier Sektionen:

Im Anhang findet sich eine EXE-Datei. Kaspersky nennt folgende Möglichkeiten: "Setup.EXE", "install.exe", "Readme.exe", "Files.exe", "Picture.exe", "Quotation.Doc.exe", "Letter.Doc.exe", "Picture.jpg.exe".

Einmal unvorsichtig ausgeführt, erzeugt der Wurm das Skript UPDATE.VBS, kopiert es in den Windows Autostart-Ordner und führt es aus. I-Update sucht dann alle EXE, DOC und VBS-Dateien und erzeugt Kopien mit der angehängten Datei-Endung VBS, die den Code des Wurms enthalten, zum Beispiel MPPLAYER.EXE.VBS.

Wie bei Gone.A gibt Kaspersky für I-Udater Alarmstufe Rot und bietet bereits Signaturen an, die den Wurm aufspüren. Damit ist der russische Hersteller den anderen Antivirenspezialisten, die den Wurm zur Zeit noch nicht einmal gemeldet haben, weit voraus. Wenn Kaspersky Labs den Alarm nicht allein ausgelöst hat, um die derzeitige Virenhysterie für Werbezwecke zu nutzen, gibt das Solo sicher böses Blut in der Branche. Üblicherweise informieren die Hersteller sich gegenseitig über die Entdeckung neuer Viren.

Informationen zu Würmern und Viren finden Sie in unserem Artikel Computerviren: Grundlagen. Tipps zum Schutz Ihrer Rechner liefern der Artikel Firewall-Grundlagen und unsere Tests zu Virenscannern und Personal Firewalls. (uba)