Koreanische Konferenz provoziert Virenattacke; Sophos warnt vor winevar Wurm

November 28, 2002 Sophos Press Release

Sophos, einer der weltweit führenden Anbieter von Virenschutz für Unternehmen, geht davon aus, dass der Autor des neuen Winevar Wurms (W32/Winevar-A) durch die Konferenz 2002 der Association of Anti-Virus Asia Researchers (AVAR) inspiriert wurde, die letzte Woche in Seoul, Korea, stattfand.

Der Winevar Wurm hinterlässt den W32/Flcss Wurm (auch bekannt als Fun Love) auf befallenen Rechnern und verbreitet sich durch E-Mails mit der Betreffzeile 'RE: AVAR (Association of Anti-Virus Asia Researchers)'. Außerdem fand Sophos heraus, dass die Anti-Viren-Gemeinde offenbar mutwillig geschädigt werden soll. Der Winevar Wurm hatte versucht, eine DoS-Attacke (Denial of Service) auf die Website des US-amerikanischen Sicherheits-Unternehmens Symantec zu starten.

'Ironischer Weise scheint der Autor des Winevar Wurms seine Inspiration von einer Konferenz bekommen zu haben, die es sich zum Ziel gesetzt hat, die schädlichen Auswirkungen von Computerviren zu reduzieren', erklärt Gernot Hacker, Senior Technical Consultant bei Sophos. 'Zum Glück für alle Computernutzer - und für Symantec - hatte dieser Wurm keinen großen Schaden angerichtet, aber wir raten allen Anwendern, ihre Anti-Viren-Software zu aktualisieren, um sich vor dem Wurm zu schützen.'

Der Winevar Wurm weist ähnliche Code-Merkmale wie der Braid Wurm (W32/Braid-A, erstes Erscheinen Anfang November) auf, der viele Rechner auf der ganzen Welt infiziert hat. Es ist möglich, dass beide Würmer von ein und demselben Viren-Autoren entwickelt wurden. Man geht nun davon aus, dass sich der Autor in Korea aufhält.

Eine interessante Nebenwirkung des Wurms ist, dass sich Datei-Identitäten so verändern, dass Dateien mit der Endung .CEO wie ausführbare Dateien behandelt werden. Daraus folgt, dass sich zukünftige Viren unten den Winevar-Opfern in Form einer .CEO-Datei verbreiten können.

'Winevar erzeugt absolut tückische *.CEO-Dateien -deshalb sollten infizierte Anwender ihre Datei- Identitäten doppelt und dreifach überprüfen, um diese Schwachstelle wirklich auszuschließen', ergänzt Gernot Hacker.