W32/Roca-A: Neuer Wurm tarnt sich als Sicherheits-Patch

Im E-Mail-Anhang befindet sich eine Datei mit einer EXE- oder ZIP-Endung (z.B. mit den Namen "sys-patch.zip", "ms-security.zip" oder "patch.exe"). Sobald diese Datei aktiviert wird, beginnt der Wurm im infizierten System einen Trojaner zu installieren und sich zudem an das gesamte Adressbuch des Computeranwenders zu versenden. Stellt das Schadprogramm fest, dass es an eine deutsche E-Mail-Adresse unterwegs ist, ändert sich der E-Mail-Text vom Englischen ins Deutsche.

Microsoft-Sprecher Thomas Lutz verweist in einem Mailing darauf, "dass Microsoft niemals Updates oder Software per E-Mail verschickt. Wenn Sie eine E-Mail erhalten, welches im Namen von Microsoft zur Installation des Attachements auffordert, führen Sie dies bitte niemals durch, da das E-Mail nicht von Microsoft selbst stammt und das Attachement daher potentiell unsicher ist." Microsoft versendet in regelmäßigen Abständen E-Mails an Abonnenten des Security und TechNet Newsletters - aber immer ohne Attachments.

In letzter Zeit haben Virenschreiber vermehrt gefälschte Sicherheits-Bulletins versandt, die aussahen, als stammen sie von Microsoft. Diese Technik wird als Spoofing (engl. "spoof"=verulken) bezeichnet. Manche dieser Benachrichtigungen führen den Empfänger auf manipulierte Webseiten die schädlichen Code herunterladen, andere können Viren als Attachements (Dateianhänge) beinhalten.

Auf Grund seiner Ausbreitungsrate und der Schadenswirkung handle es sich laut Angaben des Virenschutzhersteller "Ikarus Software" jedoch eher um "ein Würmchen". Bisher wurden bei Ikarus-Scan rund 20.000 Exemplare gezählt. Um das Programm zu entfernen, gibt es zahlreiche kostenlose Remover, unter anderem auf der Webseite von Ikarus. (pte/APA/Red.)

Weitere Informationen:

• Sophos-Webseite (deutsch)
  
• Ikarus Software-Webseite