Warnung vor neuem Massen-Mail-Wurm

Die Hersteller von Antiviren-Software warnen vor einem neuen Massen-Mail-Wurm, der sich mit großer Geschwindigkeit verbreitet. Dabei versendet er nicht nur eine Version seiner selbst an alle Einträge im Outlook-Adressbuch und versucht sich in Shard-Verzeichnisse zu kopieren, sondern vergrößert sich selbst: Der Code sucht willkürlich nach Dokumenten auf dem infizierten Rechner und fügt sie in die E-Mail ein. Dabei besteht die Gefahr, dass sich auch vertrauliche Informationen unter den wahllos zusammengesuchten Dokumenten befinden.

Mit einer Wahrscheinlichkeit von 1:20 zerstört der Wurm laut Symantec (Börse Frankfurt: SYM) alle Dateien und Directories auf dem Laufwerk C:. Das passiert allerdings nur dann, wenn der User das Format D/M/Y benutzt. In einem Drittel aller Infektionsfälle füllt der Wurm bei jedem Bootvorgang den verbleibenden freien Festplattenplatz mit Datenmüll im Verzeichnis C.ecycledsircam.sys.

Auffällig ist der Wurm vor allem deshalb, weil der Text der verhängnisvollen E-Mail entweder in spanisch oder englisch gehalten ist, die Betreffzeile wird zufällig gewählt. Der Body-Text fängt immer entweder mit „Hola como estas?“ oder „Hi! How are you?“ an und hört mit „Nos vemos pronto, gracias“, beziehungsweise „See you later. Thanks“ auf. In den Zeilen dazwischen bittet der Autor in der jeweiligen Landessprache darum, die an die Mail angehängte Datei zu betrachten, weil der Absender den Rat des Empfängers zu dem File benötige.

Der Dateianhang heißt entweder „SirC32.exe“ oder „Tech Specs and Financials.doc.com“. Zum Entfernen des Wurms empfiehlt Symantec alle „W32.Sircam.Worm@mm“-Dateien zu löschen, die Sircam.sys im Papierkorb zu entfernen, den Eintrag in der Autoexec.bat zu entfernen sowie den Eintrag in der Registry zurückzuändern.

Kontakt:
Symantec, Tel.: 02102/74530 (günstigsten Tarif anzeigen)

ZDNet.de Redaktion

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

9 Stunden ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

12 Stunden ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

21 Stunden ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

1 Tag ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

1 Tag ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

2 Tagen ago