Industriespionage-Wurm "Sircam" schlägt zu

Juli 24, 2001 Sophos Press Release

Sophos, weltweit einer der führenden Spezialisten für Antiviren-Lösungen in Unternehmen, warnt Computeranwender vor einem neuen Wurm, der nicht geschützten Unternehmen sehr großen Schaden zufügen könnte. Der Sircam-Wurm (auch als W32 / Sircam-A bekannt) stiehlt gewerbliche wie private Dokumente von einem infizierten PC. Dann leitet er diese Dateien an alle E-Mail-Adressen des infizierten Rechners weiter.

Sophos hat bisher mehr als 200 Meldungen von betroffenen Unternehmen erhalten. Der Antiviren-Spezialist glaubt, dass sich dieser Wurm als einer der aggressivsten Viren des Jahres entpuppen könnte.

'Dieser Wurm ist insbesondere schädlich für Unternehmen, da er vertrauliche Information weitergibt. Der Wurm kann Dokumente und Tabellen auf der Festplatte an sämtliche Einträge im Adressbuch weiterleiten', sagt Gernot Hacker, Virenexperte der Sophos GmbH. 'Die Glaubwürdigkeit des Unternehmens könnte ernsthaft geschädigt werden, wenn persönliche Dateien oder Unternehmensdokumente in der Inbox eines Konkurrenten landen. Unser einfacher Rat ist, die Antiviren-Software auf einem aktuellen Stand zu halten und vorsichtig mit nicht angeforderten Attachments umzugehen. Wenn Attachments nicht benötigt werden oder nicht erwartet wurden, sollten sie auf keinen Fall ausgeführt oder geöffnet werden.'

Am 16. Oktober besteht eine fünf prozentige Wahrscheinlichkeit, dass der Wurm sämtliche Dokumente von der Festplatte des Computers löscht.

Sircam ist schwer zu erkennen, da sich die Betreffzeile der infizierten E-Mail mit jeder Duplikation ändert, indem er den Namen des angefügten, gestohlenen Dokuments annimmt. Der Wurm ist sogar in der Lage, die jeweilige Sprachversion des Betriebssystems zu erkennen, und kann sich auch auf Spanisch oder Englisch vervielfältigen.

Dazu kommt, dass der Sircam Wurm - anders als viele E-Mail-Viren - seine eigene SMTP-Routine verwendet und daher nicht auf Microsoft Outlook angewiesen ist, um sich selbst via E-Mail zu verbreiten. Er ist in der Lage sowohl Namen vom Windows Adressbuch zu verwenden, als auch infizierte E-Mails an Adressen zu schicken, die sich in den Temp Files von kürzlich besuchten Webseiten befinden.

Mehr über den W32/Sircam-A -Wurm finden Sie unter:
http://www.sophos.com/virusinfo/analyses/w32sircama.html

Sophos hat am 18. Juli 2001 ein IDE-Update zur Verfügung gestellt, das vor W32/Sircam-A schützt. Sophos empfiehlt Anwendern, sich bei einem kostenlosen Benachrichtigungsservice anzumelden, um sich vor neuen Viren 'in the wild' zu schützen.