Nicht alle Viren sind erfolgreich, so sehr sie sich auch bemühen...

Juli 05, 2002 Sophos Press Release

Auch wenn die große Mehrheit aller Viren sich nicht erfolgreich "in the wild" verbreiten kann, wecken viele von ihnen trotzdem das Interesse bei Kunden und den Medien.

Ein Beispiel aus neuester Zeit ist W32/Duni-A. Zum jetzigen Zeitpunkt hat der technische Support bei Sophos keine Meldungen von Kunden erhalten, die mit diesem Wurm infiziert sind. Da der Virenautor jedoch sehr viel Mühe investiert hat, um Anwender zum Doppelklick auf sein Attachment zu bewegen, hat dieser Virus doch für einiges Erstaunen gesorgt.

Der Virus verbreitet sich über E-Mail. Dabei verwendet er zahlreiche Formulierungen und Dateinamen in spanischer Sprache. Aufgrund der Tatsache, dass der Virus auf spanisch kommuniziert, ist es eher unwahrscheinlich, dass er sich in Unternehmen und Ländern verbreitet, in denen normalerweise nicht Spanisch gesprochen wird. Im Gegensatz zu dem Wurm W32/Sircam zum Beispiel, handelt es sich hierbei nicht um einen Virus, der die Sprache des jeweiligen Computers erkennt und zwischen Spanisch und Englisch wechseln kann.

Dem Autor von W32/Duni-A ist es jedoch mit Hilfe anderer Tricks gelungen, seine Schöpfung weiter zu verbreiten.

So versendet sich der Wurm beispielsweise in Form einer .CPL (Control Panel Extenstion)-Datei. Viele Anwender wissen gar nicht, dass sich hinter .CPL-Dateien ausführbarer Code verbirgt und dieser deshalb mit derselben Vorsicht behandelt werden sollte wie z. B. .EXE-Dateien.

Außerdem benutzt W32/Duni-A eine häufig angewandte psychologische Methode, um Anwender zum Doppelklick auf das Attachment zu bewegen. Er täuscht vor, die Datei sei lustig, reizvoll, beziehe sich auf ein Problem der Internet-Sicherheit oder sie ist einfach nur für krankhaft Neugierige gedacht.

Bei manchen Attachments wird behauptet, sie enthalten Bilder von Opfern von Jack The Ripper und Charles Manson, Informationen über neueste Virenhoaxes, oder dass Osama Bin Laden Präsident der FIFA ist.

Schließlich versucht der Wurm, sich über das Datei-Austauschnetzwerk KaZaA zu verbreiten, wobei er u. a. vorgibt, es handele sich um pornografisches Material über Britney Spears und David Beckham, Cracks für Antiviren-Software, Hardcore-Sexfilme oder Desktop-Objekte zum Spider-Man Film.

"Dieser Wurm zeigt, dass sich die meisten Viren trotz eifrigster Bemühungen mit Hilfe von psychologischen Tricks nicht erfolgreich 'in the wild' verbreiten können," sagt Graham Cluley, Senior Technology Consultant bei Sophos Anti-Virus. "Obwohl dieser Wurm das Potential hat, eine bleibende Erinnerung zu werden, stellt er keine Bedrohung dar für Anwender, die den Richtlinien zum sicheren Arbeiten mit dem Computer folgen und ihre Antiviren-Software immer auf einem aktuellen Stand halten. Anwender sollten bei nicht angeforderten E-Mail-Attachments grundsätzlich misstrauisch sein. Vorsicht ist ebenfalls beim Herunterladen von ausführbarem Code aus dem Internet geboten."