Die Antiviren-Spezialisten von Sophos warnen vor einem neuen E-Mail-fähigen Wurm, der sich als eine E-Mail vom technischen Support-Team von Microsoft tarnt. Sophos hat bereits mehrere Hinweise dazu erhalten, dass sich der Wurm rasch verbreitet.
Der als Palyh (W32/Palyh-A) bekannte Wurm gibt vor, von support@microsoft.com verschickt worden zu sein und enthält die Textnachricht, dass sich alle Informationen in der anhängenden Datei befinden.
Diese Datei ist ein Windows-Programm mit einer "PIF"-Erweiterung. Sobald Anwender diesen Anhang öffnen, infizieren sie sich sofort. W32/Palyh-A kopiert sich in den Windows-Ordner, sammelt alle E-Mail-Adressen, die sich auf der Festplatte befinden, und versendet sich automatisch als E-Mail an sie.
Palyh-A ist ab dem 31. Mai 2003 nicht mehr funktionstüchtig und verbreitet sich nicht weiter. Bis dahin scheint sich der Wurm durch Network Shares und E-Mails in Umlauf zu bringen. Dies hat zur Folge, dass Unternehmen, die ihre E-Mails durch E-Mail-Scanning-Services wie MessageLabs überwachen lassen, möglicherweise nicht aureichend geschützt sind. Aus diesem Grund hält es Sophos für ratsam, sowohl das Gateway als auch die Desktops und Server zu sichern. Desktop- und Server-Schutzprogramme dienen als Sicherheitsnetz gegen Viren, die über weniger bewachte Pfade, wie Network Shares, ins Unternehmen gelangen.
"Viele Anwender, die sich vor EXE- und VBS-Dateien in ihrem E-Mail-Eingang vorsehen, sind sich nicht bewusst, dass PIF-Dateien genauso schädlich sein können", erklärt Gernot Hacker, Senior Technical Consultant bei Sophos. "Der technische Support von Microsoft versendet keine Dateien in dieser Form, deshalb sollten Anwender lieber übervorsichtig sein, bevor sie die Datei anklicken."
Sophos rät Unternehmen, alle Windows-Programme an ihrem E-Mail-Gateway zu blocken. Es ist in den seltensten Fällen nötig, Mitarbeitern zu erlauben, Programme per E-Mail zu empfangen. Es gibt wenig zu verlieren, aber viel zu gewinnen, wenn Programme blockiert werden, die via E-Mail ins Haus kommen - egal, ob sie Viren enthalten oder nicht.
"Unternehmen sollten automatisch alle ausführbaren Codes am E-Mail-Gateway abfangen", ergänzt Gernot Hacker. "Zumindest sollte PIF-Dateien der Eintritt ins Unternehmensnetz verwehrt werden. Es gibt normalerweise keinen Grund, authentische PIF-Dateien per E-Mail zu versenden, da sie nur eine Art Shortcut sind."
Weitere Informationen zu W32/Palyh-A und Hinweise, wie man sich vor dem Wurm schützt oder ihn wieder entfernt, gibt es in der Virenanalyse.
Sophos beschreibt vorbildlichen E-Mail-Gateway-Schutz anhand seiner Produkt-Serie MailMonitor in folgendem
Whitepaper.
Mehr als 100 Millionen Anwender in 150 Ländern verlassen sich auf Sophos als den besten Schutz vor komplexen IT-Bedrohungen und Datenverlust. Sophos bietet dafür Security- and Data-Protection-Lösungen an, die einfach zu verwalten, zu installieren und einzusetzen sind und dabei die branchenweit niedrigste Total Cost of Ownership bieten. Sophos bietet preisgekrönte Verschlüsselungs- und Endpoint-Security-Produkte, darüber hinaus Lösungen für Web- und E-Mail-Sicherheit sowie Network Access Control (NAC). Das Angebot wird von einem weltweiten Netzwerk eigener Analysezentren, den SophosLabs, unterstützt. Mit mehr als 20 Jahren Erfahrung gehört Sophos laut den Top-Analystenhäusern zu den führenden Unternehmen für IT-Sicherheit und Datenschutz und hat zahlreiche Branchenauszeichnungen erhalten.
Sophos hat seinen Hauptsitz in Boston, USA, und Oxford, Großbritannien. In Deutschland ist das Unternehmen in Wiesbaden und in Österreich sowie der Schweiz je an einem Standort vertreten. Weitere Informationen unter: www.sophos.de.