Neuer Kournikova-Wurm verbreitet sich rasant

Vorsicht vor E-Mails mit dem Anhang AnnaKournikova.jpg.vbs: Die Skriptdatei zaubert kein Bild der russischen Tennisspielerin auf den Monitor, sondern versendet sich als Massenmail über das Outlook-Adressbuch.

Führende Antivirenhersteller haben dem ungebetenen Gast unter anderem die Aliase VBS.SST@mm, VBS.Lee-o und VBS.OnTheFly gegeben. Der letzte Name geht auf die Spuren zurück, die der Wurm in der Registry hinterlässt: Dort finden sich die Einträge HKEY_CURRENT_USER\\Software\\OnTheFly und - falls die Verbreitung erfolgreich abgeschlossen ist - HKEY_CURRENT_USER\\Software\\OnTheFly\\mailed.

Außerdem versucht der Schädling am 26. Januar eines Jahres über den Webbrowser die Adresse eines niederländischen Computershops anzusurfen.

Offenbar besitzt der Wurm gewisse Mutationsmechanismen, zumindest was die Betreffzeile der verseuchten Mails angeht: Neben "Here you have, ;o)" berichten betroffene Anwender von "Check this".

Neben der Verbreitung und der Veränderung und dem Aufrufen der Webseite richtet der neue Wurm keine Schäden, insbesondere löscht er in seiner gegenwärtigen Form keine Dateien.

Nach Angaben von Symantec ist VBS.SST@mm mit Hilfe eines Virenbaukastens entstanden. Diese Virus Construcion Kits, die man zu Dutzenden im Internet findet, hinterlassen in der mit ihrer Hilfe erzeugten Malware einen bestimmten String. Über dieses Merkmal ist es für Antivirensoftware normalerweise ein Leichtes, die Schädlinge zu erkennen.

VBS.SST@mm enthält allerdings ein Verschlüsselungsroutine und wird deshalb von Virenscannern ohne aktuelles Siganturupdate nicht erkannt. Daher verbreitet sich der neue Computerwurm rasend schnell: Von den Niederlanden kommend, hat er mittlerweile die Mailserver mehrerer großer Firmen in den USA und Neuseeland lahm gelegt. Trend Micro behauptet gar, die Verbreitungsgeschwindigkeit übertreffe die von ILOVEYOU, der letztes Jahr auf zirka 15 Millionen PCs weltweit sein Unwesen trieb.

Auch in der Redaktion von tecChannel.de trafen am Vormittag zahlreiche Anfragen von Lesern aus dem ganzen Bundesgebiet ein. Es ist also davon auszugehen, dass sich der neue Wurm in Deutschland bereits stark verbreitet.

Der beste Schutz vor VBS.SST@mm besteht darin, seinen Virenscanner mit den jeweils neuesten Signaturdateien zu aktualisieren. Die großen Antivirenhersteller stellen auf ihren Websites regelmäßig Updates zur Verfügung.

Um den Wurm aber überhaupt ins System zu lassen, müssen die Anwender auch diesmal wieder die angehängte Datei ausführen. Das sollte man bei nicht ausdrücklich vereinbarten Übertragungen aber nie tun, selbst wenn der Absender bekannt ist. (tri/nie)