AA

Warnung vor neuem Computer-Wurm

Der E-Mail-Wurm Win32.Nyxem.E (Aliases: W32.Blackmal.E, CME-24) wurde erstmals am 17. Jänner 2006 gesichtet, seine Verbreitung startete auch am selben Tag.

Diese ging jedoch bis zum 24. Jänner nur langsam voran.
Im Gegensatz zu fast allen anderen Viren und Würmern weist der Nyxem.E jedoch eine Besonderheit auf. Von jedem, vom Wurm infizierten System, wird eine Nachricht an einen so genannten „Counter“, also eine Zähler, im Web verschickt. Damit ist es erstmals exakt möglich zu bestimmen, wie viele Systeme tatsächlich vom Wurm infiziert wurden.

Was den Nyxem so besonders „gefährlich“ macht ist, dass er im Gegensatz zu den meisten anderen Würmern eine explizite Schadensfunktion aktiviert. Am 3. Februar überschreibt der Wurm alle Dateien mit den Endungen: DOC / XLS / PPT / ZIP / RAR / PDF / MDB

Die führt dazu, dass der ursprüngliche Inhalt dieser überschriebenen Dateien verloren geht. Der Wurm sucht dabei auch auf ALLEN Festplatten eines PCs oder Servers bzw. mit dem infizierten System verbundenen Komponenten wie externe Festplatten oder Storage-Systeme, aber auch auf USB-Sticks die am 3. Februar an ein infiziertes System angesteckt werden.

Nachdem der Wurm den Start seiner Schadensaktivität an die lokale PC-Zeit knüpft, kann es bei falsch eingestellter Zeit, schon früher zu Schadensfällen kommen. In den 10 Tagen seit seines erstmaligem Auftauchens sind erst knapp 800.000 Zugriffe auf den im Wurmcode verweisenden Counter registriert worden. Ab 25 Jänner (2,5 Millionen gesamte Zugriffe) wurden merklich mehr Zugriffe auf den Counter des Wurmes registriert, welcher zum derzeitigen Zeitpunkt (über 15 Millionen gesamte Zugriffe) ungebrochen ist.

Diese Zugriffe auf den Counter (ab 25 Jänner) sind DDOS-Atacken sowie Zugriffe aufgrund der Veröffentlichung der Counter-URL von diversen Webseiten, welche nicht mehr die tatsächlichen Wurmzugriffe widerspiegeln. Eine Auswertung der Logdateien des Counters vom 25.01.2006 durch diverse Organisationen und Firmen ergab, dass nur knapp 300.000 Rechner zu diesem Zeitpunkt betroffen waren/sind. Die ISP-Listen sowie Zugriffe der jeweiligen Länder sind bereits der Öffentlichkeit zugänglich und wir konnen deshalb nachfolgende Daten veröffentlichen.

Die Top5 Länder aus welchen der Wurm auf den Counter zugriff:

  • Indien
  • Peru
  • Italien
  • Türkei
  • USA

    Zugriffe aus Österreich auf den Counter lt. Logdateien:

  • IKB-AS Innsbrucker Kommunalbetriebe
  • Globecast Austria
  • AON
  • tele.ring
  • T-Mobile Austria GmbH
  • SIL-AT SILVER:SERVER GmbH
  • Graz University
  • University of Innsbruck
  • University of Salzburg
  • University of Vienna

    Die betroffenen Provider wurden in weltweiter Zusammenarbeit von US-CERT, FBI, SANS ISC sowie weiteren Unternehmen per Email verständigt. Da österreichische Provider in den Listen auftauchen und einige Computer auch weiterhin mit dem Email-Worm.Win32.Nyxem.E infiziert sein könnten, bieten wir einen speziellen Remover für diesen Wurm zum kostenlosen Download an.

    Den Gratis-Remover finden Sie hier.

    Die nähere Analyse dieses Wurmes finden Sie hier.

    Weiterführende Links:

  • http://www.microsoft.com/security/encyclopedia/details.aspx?name=Win32%2fMywife.E%40mm
  • http://www.lurhq.com/blackworm-stats.html
  • http://www.lurhq.com/blackworm.html
  • (Quelle: ikarus.at)
    home button iconCreated with Sketch. zurück zur Startseite
  • VOL.AT
  • Technik News
  • Warnung vor neuem Computer-Wurm