Warnung vor neuem E-Mail-Wurm: Vorsicht bei Attachments

Bei der bereits gemeldeten neuen Variante des E-Mail-Wurms ILOVEYOU, die seit gestern Abend ihr Unwesen treibt, hat sich jemand weitaus mehr Mühe gegeben als beim Original. Von den Antiviren-Herstellern schon als VBS/NEWLOVE.A in ihre Listen aufgenommen, handelt es sich bei dem Wurm ebenfalls um ein Visual Basic Script. Er wirkt sich daher wie ILOVEYOU nur auf Windows-Systemen aus. Wenn er aktiviert wird, verschickt NEWLOVE sich ebenfalls an alle User aus dem Outlook-Adressbuch.

Allerdings kann er jedes Mal die Betreff-Zeile der E-Mail ändern, und zwar offensichtlich anhand des Subjects anderer E-Mails, die in der In-Box von Outlook gespeichert sind. Daher können selbst Anwender, die auf seltsame E-Mail-Titel achten, den Wurm nicht auf Anhieb erkennen; unter Umständen bekommen sie sogar eine Mail von einem Bekannten mit einem Titel, der auf einen früheren Mailaustausch verweist. Zudem ist NEWLOVE polymorph, er ändert seinen eigenen Code mit jeder neuen Infektion. Neue Zeilen zufällig ausgewählten Codes werden bei jeder neuen Aktivierung hinzugefügt; dadurch nimmt sein Umfang jedes Mal zu. Der Antiviren-Hersteller Trend Micro berichtet, dass E-Mails aufgetaucht sind, bei denen der Wurm schon eine Größe von 400 KByte erreicht hatte. Massenhafte Verbreitung solcher großen Mails kann natürlich Mail-Server stark beeinträchtigen – bis dahin, dass sie wegen Überlastung vollständig den Geist aufgeben. Darüber hinaus geht der Wurm nach ersten Analysen alle Verzeichnisse der Festplatte durch und überschreibt Dateien mit Files von 0 Byte Länge. Da davon auch die Windows-Verzeichnisse betroffen sind, startet Windows, ist der Wurm einmal aktiviert worden, nach einem Re-Boot nicht mehr.

Bislang scheint der Wurm noch keine allzu großen Schäden angerichtet zu haben, da die Anwender offensichtlich von der letzten Wurm-Attacke durch ILOVEYOU noch sensibilisiert sind. Angesichts der neuen, gefährlicheren ILOVEYOU-Variante empfiehlt c't aber erneut dringend, prinzipiell keine ausführbaren Anhänge in E-Mails zu starten, die nicht explizit verabredet wurden. Auch wenn eine solche Mail von einem Bekannten stammt und mit einem unverfänglichen Subject daherkommt, so kann der E-Mail-Partner doch selbst Opfer eines Wurms oder Virus geworden sein. Neben Visual-Basic-Skripten (.vbs) und klassischen Programmen (.exe, .com) sind eine Reihe weiterer Dateitypen potenziell gefährlich: allen voran die Office-Dokumente (.doc, .xls usw.), aber auch weniger bekannte Arten wie Bildschirmschoner (.scr) und Shell-Scrap-Dateien (.shs). Vorsicht ist auch geboten, wenn Dateiendungen wie .vbs nicht angezeigt werden – einige E-Mail-Programme stellten den Anhang der E-Mail mit dem Wurm nur als .txt-Datei dar und verschluckten die zusätzliche Endung .vbs.

Informationen über Virenschutz-Software und Download-Angebote finden Sie auf der Virenschutz-Seite von c't. (jk)