Noped-Wurm sucht nach Porno-Bildern

Symantec warnt vor einem Wurm namens VBS.Noped.A@mm. Er arbeitet nach dem bekannten Loveletter-Muster. Das Besondere an Noped ist, dass er Festplatten und verbundene Laufwerke nach kinderpornografischen JPEG-Dateien scannt.

Findet "Noped" bei seiner Suche Dateien mit der Namenserweiterung .JPEG oder .JPG und bestimmten Namenskriterien, schickt der Wurm eine Mail an eine US-Behörde. Die Behörde wird per Zufallsverfahren aus einer Liste ausgewählt. In der E-Mail an die Behörden wird das Ergebnis der Suche als Liste der Ordner und der gefundenen Dateien mitgeschickt. Die Mail hat folgenden Text:

Hi, this is Antipedo2001. I have found a PC with known Child Pornography files on the hard drive. I have included a file listing below and included a sample for your convenience.

Nach welchen Namenskriterien der Wurm die Platten durchsucht, teilt Symantec nicht mit. Noped selbst kommt als E-Mail mit dem Betreff: "FWD: Help us ALL to END ILLEGAL child porn NOW". Im Attachement verspricht der Wurm eine Textdatei mit weiteren Informationen. Statt der .TXT-Datei führt der unbedarfte Benutzer allerdings ein VB-Script aus. Hinterhältigerweise wird scriptgesteuert dabei Notepad geöffnet und ein langes Dokument über die bisherige Gesetzgebung der USA gegen Kinderpornografie angezeigt. Während der Benutzer den Text studiert, trägt sich der Wurm unter anderem in die Registry ein und verschickt sich selbst an alle E-Mail-Adressen, die er im Outlook-Adressbuch des Rechners findet.

Vergangene Woche machte der Wurm Cheese von sich reden, der Sicherheitslücken stopft, wir berichteten. Zuvor war mit Mawanella ein Wurm mit politischen Motiven im Umlauf. Noped hat sich das Mäntelchen des Kämpfers gegen Kinderpornografie umgeworfen. Scheinbar machen in jüngster Zeit Viren Schule, die zum Teil fragwürdige Ziele mit illegalen Mitteln verfolgen.

Weitere Informationen zum Thema erhalten Sie in unseren Virengrundlagen und in den Reports Entwicklung der digitalen Plagegeister und Viren unter Linux. (uba)