Schädlinge via MSN Messenger & Ikea-Rechnung
Nachdem „Nurech.A“ als Vorbote des Valentinstagswurm eine Woche vor dem eigentlichen Termin schon mit seinen Liebesgrüßen einen orangenen Alarm ausgelöst hatte, erschien die zweite Nurech-Variante am Tag der Verliebten, um als böser Liebesbote massenhaft Computer zu verseuchen.
Auch der zweite Wurm, der in der vergangenen Woche besonders auffällig war, nutzt laut Antivirenhersteller Panda sogenannte „Social Engineering“ Techniken. „Atomix.C“ verbreitet sich über den MSN Messenger. „Nurech.B“ hingegen lockt mit romantischen Grußkarten in Form von Anhängen in E-Mail-Nachrichten. „Happy Valentine’s Day“ oder „Valentine’s Day Dance“ dienen dem Wurm als Betreffzeilen, „Greetings Postcard.exe“ und „Postcard.exe“ als Namen für die angehangene Datei und ein weiblicher Name als Absender. Die ausführbare Datei im Anhang – als Grußkarte getarnt – enthält keine Liebesbotschaft, sondern den Wurm. Dank seiner Rootkit-Funktionalitäten sowie der Fähigkeit Sicherheits-Tools zu deaktivieren, schafft es Nurech.B oftmals unentdeckt zu bleiben und Kopien seines Codes unbemerkt auf dem befallenen System zu hinterlassen.
Atomix.C hingegen ist relativ einfach zu erkennen. Wenn der Wurm sich in das System eingeschlichen hat, erscheint eine Fehlermeldung. Um eine Identifizierung zu vermeiden, nutzt Atomix.C jedoch eine raffinierte Methode: Nach dem Erscheinen der Fehlermeldung, zeigt er eine weitere Meldung an, die den Anwender über die Präsenz eines Virus in Kenntnis setzt und ihm gleichzeitig einen kostenfreien Patch-Download über eine bestimmte Website empfiehlt. Tatsächlich lädt der User jedoch ein Update des Wurms herunter. Atomix.C kombiniert „Social Engineering“ Techniken mit einer Verbreitungsmethode via MSN Messenger, um schnell und effektiv eine große Anzahl von Computern zu erreichen. Dazu fügt er einen Link mit einer entsprechenden Nachricht (z.B. „Download this postcard“) in aktive, dem User vertraute Verbindungen ein.
Zudem macht ein Wurm, der über eine gefälschte Ikea-Rechnung verschickt wird, derzeit zahlreiche Postfäche unsicher. Die Infektion erfolgt dabei nach bekanntem Schema: Der Benutzer erhält eine E-Mail, deren Anhang eine angebliche Rechnung des Möbelhauses enthält. Die mit einem PDF-Icon getarnte „.pdf.exe“ infiziert, sobald ausgeführt, den Rechner und sorgt dafür, dass allerlei Unrat heruntergeladen wird. Was genau dabei auf den Rechner des Opfers gelangt, steht derzeit noch nicht fest. Da bisher so gut wie kein Antivirus-Programm diesen neuen Schädlingen zu erkennen scheint, ist dringend dazu geraten, verdächtige E-Mails sofort zu löschen.