Mimail Wurm wütet in Amerika - Deutschland bislang verschont

August 04, 2003 Sophos Press Release

Sophos rät deutschen Unternehmen, dringend Virenschutz-Maßnahmen gegen den neuen Mimail Wurm einzuleiten. W32/Mimail-A ist ein Mass-Mailing Virus, der erstmals am vergangenen Freitag in Amerika aufgetaucht ist. Sophos hat zahlreiche Hinweise auf Infektionen durch diesen Wurm erhalten und schätzt das Gefahrenpotenzial dementsprechend als hoch ein. Im deutschsprachigen Raum ist der Wurm zwar noch verhältnismäßig selten aufgetaucht, doch es ist anzunehmen, dass bei mangelnder Vorsorge auch Deutschland stark betroffen werden kann.

Seit der Verbreitung hat das Support-Team von Sophos heute früh verstärkt Meldungen von Mimail-Infektionen registriert. Der Anstieg ist wahrscheinlich darauf zurückzuführen, dass Computeranwender in den Unternehmen heute Morgen sofort die virenverseuchte E-Mail geöffnet haben, denn sie gibt vor, von der firmeneigenen IT-Abteilung zu stammen. Nach dem Öffnen verbreitet sich die E-Mail an alle E-Mail-Kontakte im Adressbuch des Mitarbeiters.

"Der Mimail Wurm scheint einen zweiten Antrieb bekommen zu haben, als die europäischen Unternehmen am Montagmorgen in die neue Arbeitswoche starteten", erklärt Gernot Hacker, Senior Technical Consultant bei Sophos. "Während sich amerikanische Unternehmen in der Zwischenzeit mit Patches gegen den Wurm wappnen konnten, hat es die hiesigen Firmen zum Teil eiskalt erwischt. Während viele das sonnige Wochenende genossen haben, wartete der Schädling bereits im E-Mail-Eingang darauf, ausgelöst zu werden. Unternehmen sollten ernsthaft darüber nachdenken, automatische Antiviren- Updates zu nutzen, die proaktiv Virenschutz verbreiten, sobald ein neues Schadprogramm in Umlauf ist."

Der Mimail Wurm verbreitet sich als ein E-Mail des jeweiligen Netzwerk-Administrators und kann sogar den Domain-Namen der Unternehmens-E-Mail-Adresse annehmen. Aus der Empfängeradresse Martin.Schmidt@ABCLimited.com wird so zum Beispiel ein E-Mail mit dem Absender admin@ABCLimited.com.

Der Nachrichtentext der E-Mail behauptet, dass die Zugangsberechtigung zum E-Mail-Konto für den Empfänger erlischt und anhand der Information in der anhängenden Datei erneuert werden kann. Der Anhang namens message.zip besteht aus einer HTML-Datei, die jedoch statt den Informationen eine Kopie des Wurmes enthält. Diese durchsucht automatisch die Festplatte des Anwenders nach E-Mail-Adressen seiner nächsten potenziellen Opfer.

"Der Virenschreiber hat sehr viel dafür getan, sein Schadprogramm als legitime E-Mail zu tarnen", so Gernot Hacker weiter. "Sein E-Mail-Text enthält jedoch eine wichtige Spur darauf, dass es sich um einen Schurkenstreich handelt: E-Mail-Konten erlöschen nicht in Unternehmen. Anwender sollten genau darüber nachdenken, bevor sie Anweisungen in E-Mails ausführen und Anhänge herunterladen - selbst wenn sie aus einer scheinbar gesicherten Quelle stammen."

Der Mimail Wurm nutzt eine alte Sicherheitslücke im Betriebssystem von Microsoft aus. Ein Patch steht für diese Schwachstelle seit Monaten zum Herunterladen bereit. Sobald das Patch installiert ist, sind Netzwerke gegen Infektionen durch Mimail immun.

Weitere Informationen über W32/Mimail-A finden Sie in der Virenanalyse.