Presse

Lesen Sie unsere neuesten Meldungen

27 Nov 2002

Koreanische Konferenz provoziert Virenattacke - Sophos warnt vor Winewar Wurm

Sophos, einer der weltweit führenden Anbieter von Virenschutz für Unternehmen, geht davon aus, dass der Autor des neuen Winevar Wurm (W32/Winevar-A) durch die Konferenz 2002 der Association of Anti-Virus Asia Researchers (AVAR) inspiriert wurde, die letzte Woche in Seoul, Korea, stattfand.

Der Winevar Wurm hinterlässt den W32/Flcss Wurm (auch bekannt als Fun Love) auf befallenen Rechnern und verbreitet sich durch E-Mails mit der Betreffzeile 'RE: AVAR (Association of Anti-Virus Asia Researchers)'. Außerdem fand Sophos heraus, dass die Anti-Viren-Gemeinde offenbar mutwillig geschädigt werden soll. Der Winevar Wurm hatte versucht, eine DoS-Attacke (Denial of Service) auf die Website des US-amerikanischen Sicherheits- Unternehmens Symantec zu starten.

"Ironischer Weise scheint der Autor des Winevar Wurms seine Inspiration von einer Konferenz bekommen zu haben, die es sich zum Ziel gesetzt hat, die schädlichen Auswirkungen von Computerviren zu reduzieren", erklärt Gernot Hacker, Senior Technical Consultant bei Sophos. "Zum Glück für alle Computernutzer - und für Symantec - hatte dieser Wurm keinen großen Schaden angerichtet, aber wir raten allen Anwendern, ihre Anti-Viren- Software zu aktualisieren, um sich vor dem Wurm zu schützen."

Der Winevar Wurm weist ähnliche Code-Merkmale wie der Braid Wurm (W32/Braid-A, erstes Erscheinen Anfang November) auf, der viele Rechner auf der ganzen Welt infiziert hat. Es ist möglich, dass beide Würmer von ein und demselben Viren-Autoren entwickelt wurden. Man geht nun davon aus, dass sich der Autor in Korea aufhält.

Eine interessante Nebenwirkung des Wurms ist, dass sich Datei-Identitäten so verändern, dass Dateien mit der Endung .CEO wie ausführbare Dateien behandelt werden. Daraus folgt, dass sich zukünftige Viren unten den Winevar-Opfern in Form einer *.CEO-Datei verbreiten können.

"Winevar erzeugt absolut tückische .CEO-Dateien - deshalb sollten infizierte Anwender ihre Datei- Identitäten doppelt und dreifach überprüfen, um diese Schwachstelle wirklich auszuschließen", ergänzt Gernot Hacker.

Sophos hat bereits am 25. November einen Schutz vor W32/Winevar-A zur Verfügung gestellt. Anwender von Sophos MailMonitor für SMTP konnten mit Hilfe der proaktiven Dateifilterungstechnologie den Virus schon vor diesem Datum daran hindern, in ihr Unternehmen einzudringen.

Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern verlassen sich auf Sophos‘ Complete-Security-Lösungen als den besten Schutz vor komplexen IT-Bedrohungen und Datenverlust. Sophos bietet dafür preisgekrönte Verschlüsselungs-, Endpoint-Security-, Web-, Email-, Mobile- und Network Security-Lösungen an, die einfach zu verwalten, zu installieren und einzusetzen sind. Das Angebot wird von einem weltweiten Netzwerk eigener Analysezentren, den SophosLabs, unterstützt.

Sophos hat seinen Hauptsitz in Boston, USA, und Oxford, Großbritannien. In Deutschland hat das Unternehmen seinen Hauptsitz in Wiesbaden und ist in Österreich und der Schweiz je an einem Standort vertreten. Weitere Informationen unter www.sophos.de.