Stages-Wurm: Spur führt nach Argentinien

Der Urheber des „Life Stages“-Wurms, vor dem ZDNet vorgestern warnte, hält sich aller Wahrscheinlichkeit nach in Argentinien auf. Das FBI verfolgt nach eigenen Angaben entsprechende Spuren.

Der vermeintliche Täter trägt den Codenamen „Zulu“ und soll bereits seit langem in der Hacker-Szene der USA aktiv sein. Ende Mai habe er bereits den Quellcode des Virus auf einer einschlägig bekannten Site veröffentlicht. Dies berichtet ein Mitarbeiter der Sicherheits-Site ICSA.net Bruce Hughes. Es habe aber mehrere Wochen gedauert, bis der Stages-Virus sich so weit verbreitet hat, dass er zur weltweiten Bedrohung geworden ist.

Auf das Konto von „Zulu“ gehen auch die Viren „Bubbleboy“, „Monopoly“ sowie „Freelinks“.

Im Falle des Stages-Virus erhält ein User eine Mail mit den Betreffs: „Funny“, „Jokes“ oder „Life Stages“. Der Text der Nachricht lautet „The male and female stages of life“, der Dateianhang heißt „LIFE_STAGES.TXT.SHS“, wobei manchmal das Dateiformat „.shs“ verborgen sein kann.

Der Wurm verbreitet sich wieder via Microsoft Outlook, indem er sich an die entsprechenden Einträge im Adressbuch versendet, sowie über ICQ, mIRC und Pirch, einen Internet Relay Chat-Client für Microsoft. Außerdem infiziert der Wurm alle verfügbaren Festplatten des Systems. Startet jemand den Dateianhang per Doppelklick, sieht er eine Reihe von Witzen, während der Wurm im Hintergrund das System infiziert und sich selbst versendet. McAfee hat den Wurm als hochgefährlich eingestuft. Auf der Site zahlreicher Anti-Virenanbieters gibt es eine Beschreibung, wie die gefährlichen Code-Zeilen nach einer Infektion wieder entfernt werden können, sowie Patches gegen den Wurm.

ZDNet berichtet in einem laufend aktualisierten News Report zu ‚ILOVEYOU‘ über die weitere Entwicklung und stellt neben Grundlagenwissen auch Links zu Virenschutz-Anbietern bereit.

Kontakt:
Network Associates, Tel.: 089/37070