Aus den Unternehmen
Erhöhter Alarm für Wurm „SirCam“
Donnerstag 26. Juli 2001 - Das Forschungszentrum von Network Associates McAfee AVERT (Anti-Virus Emergency Response Team) hat einen neuen Mailing-Wurm im Internet festgestellt.
Es handelt sich hierbei um „SirCam“ oder auch „W32/SirCam@MM“, einen Wurm, der sich im Papierkorb von Windows (C:\Recycled) versteckt und auch private Dokumente als E-Mails versendet. Aufgrund des Anstiegs an infizierten Usern ist der Wurm von den AVERT-Fachleuten auf „High Risk“ hochgestuft worden.
„SirCam“ versendet sich selbst mit unterschiedlichen Namen an alle E-Mail-Adressen im Windows-Adressbuch des infizierten Rechners. Der Wurm versucht sich auch über freigegebene Netzwerk-Laufwerke zu verbreiten. Außerdem verschickt der Wurm private Dateien aus dem „Eigene Dateien“-Ordner, die er als Attachement an die E-Mails anhängt.
„Der Wurm kopiert .GIF-, .JPG-, .JPEG-, .MPEG-, .MOV-, .MPG-, .PDF-, .PNG-, .PS- sowie .ZIP-Dateien und schickt sie an alle E-Mail-Adressen. Der Wurm ist im Speicher aktiv und wird dort ausgeführt“, erklärt Virenexperte Dirk Kollberg von Network Associates. „Dabei nutzt der Wurm verschiedene Betreffzeilen. So können leicht vertrauliche Informationen in alle Welt gelangen. Genauso wie der Wurm Code Red‘ funktioniert SirCam‘ direkt im Netzwerk und kann nur am Gateway abgewehrt werden.“
Eine vom Wurm versendete E-Mail ist an der spanischen oder englischen Betreffzeile „Hola como estas?“ bzw. „Hi! How are you?“ zu erkennen. Der dann folgende Nachrichtentext ist zweisprachig und hat folgende englische Varianten:
„I send you this file in order to have your advice“ oder
„I hope you can help me with this file that I send“ oder
„I hope you like the file that I sendo you“ oder
„This is the file with the information that you ask for See you later. Thanks.“
oder auf spanisch:
„Te mando este archivo para que me des tu punto de vista“ oder
„Espero me puedas ayudar con el archivo que te mando“ oder
„Espero te guste este archivo que te mando“ oder
„Este es el archivo con la información que me pediste Nos vemos pronto, gracias.“
Angehängt sind Attachements mit doppelter Dateiendung, deren Dateinamen variieren.
Sofortige Hilfe und ausführliche Informationen zum Wurm „SirCam“ können Sie online auf der folgenden Webpage von McAfee AVERT bekommen: http://vil.nai.com/vil/dispvirus.asp?virus_k=99141
McAfee VirusScan-Kunden sollten ihr System über diese Site updaten und den 4.0.70 Scanner benutzen, um mögliche Schäden abzuwenden. McAfee schützt seit der vorletzten .DAT-Datei 4148 mit der Erkennung für „SirCam“ vor diesem neuen Mailing-Wurm. Mit der aktuellen .DAT 4149 wird außerdem die Dateiendung .LNK in die zu scannenden Dateien aufgenommen.