Sophos fragt: Ist Ihr Unternehmen vor dem Mimail-Wurm geschützt?

August 02, 2003 Sophos Press Release

Sophos, einer der weltweit führenden Hersteller für Virenschutz für Unternehmen rät Systemadministratoren dringend, Maßnahmen zum Schutz vor W32/Mimail-A, einem neuen Massmailing-Wurm zu ergreifen, der sich stark in den USA verbreitet hat.

"W32/Mimail-A wird in einer E-Mail versendet, die behauptet, von dem Administrator zu stammen", sagt Paul Ducklin, Head of Technology bei Sophos im asiatisch-pazifischen Raum. "Er behauptet, das E-Mail-Konto des Anwenders würde demnächst auslaufen, und fordert den Anwender auf, die angehängten Informationen zu lesen. Das Attachment namens "message.zip" ist alles andere als eine Nachricht, sondern eine Kopie des Wurms, der die Festplatte nach E-Mail-Adressen für seine nächsten Opfer durchkämmt."

Laut Ducklin verwendet W32/Mimail-A einen einfachen aber wirksamen Trick, um zu verschleiern, dass es sich um ein Programm handelt. Das Attachment mit dem Wurm ist ein harmlos wirkendes ZIP-Archiv namens "message.zip", das nicht direkt ausgeführt werden kann. Anwender, die die Datei entpacken, finden eine weitere harmlos aussehende HTML-Datei namens "message.html". Auch diese Datei kann nicht direkt ausgeführt werden. Aber sie enthält eine eingebettete EXE-Datei, die automatisch entpackt wird, sobald die HTML geöffnet wird - und nicht gepatchte Versionen von Outlook starten das entpackte Programm sogar, ohne dass sich der Anwender über dessen Existenz überhaupt im Klaren ist.

"Montag morgen werden viele Unternehmensanwender diesen Wurm in ihren Mailboxen haben", warnt Ducklin. "Administratoren, die automatische, proaktive Sicherheitsvorkehrungen getroffen haben, sind auf jeden Fall sicherer als Administratoren, die keine entsprechenden Maßnahmen getroffen haben. Und sie haben den Sonntag bestimmt nicht im Büro verbracht."

Sophos gibt Administratoren folgende Empfehlungen:

  • Vergewissern Sie sich, dass Ihre Antiviren-Software up to date ist, sowohl am Gateway als auch am Desktop. Vorbeugen ist besser als Heilen.
  • Ziehen Sie in Erwägung, ein System für unbeaufsichtigte, automatische Updates der Antiviren-Software einzusetzen, wie z. B. Sophos Enterprise Manager.
  • Wenn Sie ein Gateway-Produkt, wie Sophos MailMonitor für SMTP verwenden, sollten Sie E-Mails mit Betreffzeilen, die mit "your account" beginnen, abblocken. W32/Mimail-A verwendet immer diesen Text.
  • Wenn Sie für E-Mail- und Internetzugriff Microsoft-Produkte im Einsatz haben, vergewissern Sie sich, dass Sie die neuesten Sicherheits-Updates installiert haben. Microsoft hat vor Monaten schon ein Patch zur Verfügung gestellt, das die HTML-Sicherheitslücke schließt, die durch diesen Wurm ausgenutzt wird. Microsoft hat außerdem eine Schritt-für-Schritt-Anleitung für Heimanwender zur Verfügung gestellt, damit sie ihre Computer mit den wichtigsten Updates schützen können.
  • Für die Sicherheit verantwortliche IT-Manager sollten sich bei Mailinglisten über Schwachstellen in Software anmelden, wie sie z. B. von Microsoft unter www.microsoft.com/technet/security/bulletin/notify.asp zur Verfügung gestellt werden. Andere Hersteller bieten ähnliche Dienste an.
  • Verwenden Sie nie Attachments, um Informationen zu verbreiten, wenn auch einfacher Text ausreicht. Anwender werden dadurch vorsichtiger, wenn sie E-Mails erhalten wie solche, die W32/Mimail-A erzeugt.
Weitere Informationen: Sicheres Arbeiten mit dem Computer - Hinweise von Sophos.