Mehrere Hersteller von Antivirensoftware warnen derzeit vor einem "Ausbruch" des Windows-
Schädlings Trojan-Downloader.Win32.Small.dam. Der auch "Sturm-Wurm" genannte Schädling versucht durch Sensationsmeldungen rund um den Orkan Kyrill auf sich aufmerksam zu machen. Da sich der Trojaner nach bisherigen Erkenntnissen aber nicht selbst verbreitet, handelt es sich eigentlich nicht um einen echten Wurm.
Eine infizierte Mail trägt unter anderem den Betreff "230 dead as storm batters Europe" und verspricht im Anhang ein Video zu enthalten. Wenig überraschend steckt dort dann der Trojaner in einer ausführbaren Datei mit dem Namen FullClip.exe, FullStory.exe oder FullVideo.exe. Daneben enthalten andere, ebenfalls per Spam-Listen verteilte Mails mit dem gleichen Schädling englische Betreffzeilen zu einem angeblichen Genozid an britischen Muslimen. Eine weitere Variante kommt mit der Schlagzeile, Condoleezza Rice habe bei ihrem Besuch in Deutschland Angela Merkel getreten.
Der Trojaner lädt weitere Dateien aus dem Internet nach. Was er genau macht, verraten die Antivirenhersteller nicht. Laut GDATA wird unter anderem das Rootkit Win32.agent.dh installiert. Laut Sophos soll seit Mitternacht eine von 200 Mails den Trojaner enthalten. Ikarus will bereits 20.000 infizierte Mails mit 11 verschiedenen Trojaner-Varianten gesichtet haben. Noch nicht alle Hersteller stellen Signaturen bereit, mit denen die Trojaner erkannt werden.
Ob allerdings wirklich von einem Ausbruch gesprochen werden kann, ist fraglich. Der mittlerweile von Cisco
gekaufte Hersteller Ironport etwa stellt in seiner Statistik jedenfalls keinen Ausbruch fest. Auch sind von anderen Beobachtern kaum Exemplare im Netz gesichtet worden. Trotzdem gilt wie immer: Anwender sollten auf keinen Fall verdächtige Anhänge öffnen und bei allen zugesandten Mails größte Vorsicht walten lassen. Gerade die kürzlich aufgetauchten Trojaner in gefälschten
1&1- und
GEZ-Rechungen zeigen, wie reflexartig manche Anwender vorgehen.
Links:
-
Quelle