Sophos fragt: Ist Ihr Unternehmen vor dem Mimail-Wurm geschützt?

Sophos Press Release

Sophos, einer der weltweit führenden Hersteller für Virenschutz für Unternehmen rät Systemadministratoren dringend, Maßnahmen zum Schutz vor W32/Mimail-A, einem neuen Massmailing-Wurm zu ergreifen, der sich stark in den USA verbreitet hat.

"W32/Mimail-A wird in einer E-Mail versendet, die behauptet, von dem Administrator zu stammen", sagt Paul Ducklin, Head of Technology bei Sophos im asiatisch-pazifischen Raum. "Er behauptet, das E-Mail-Konto des Anwenders würde demnächst auslaufen, und fordert den Anwender auf, die angehängten Informationen zu lesen. Das Attachment namens "message.zip" ist alles andere als eine Nachricht, sondern eine Kopie des Wurms, der die Festplatte nach E-Mail-Adressen für seine nächsten Opfer durchkämmt."

Laut Ducklin verwendet W32/Mimail-A einen einfachen aber wirksamen Trick, um zu verschleiern, dass es sich um ein Programm handelt. Das Attachment mit dem Wurm ist ein harmlos wirkendes ZIP-Archiv namens "message.zip", das nicht direkt ausgeführt werden kann. Anwender, die die Datei entpacken, finden eine weitere harmlos aussehende HTML-Datei namens "message.html". Auch diese Datei kann nicht direkt ausgeführt werden. Aber sie enthält eine eingebettete EXE-Datei, die automatisch entpackt wird, sobald die HTML geöffnet wird - und nicht gepatchte Versionen von Outlook starten das entpackte Programm sogar, ohne dass sich der Anwender über dessen Existenz überhaupt im Klaren ist.

"Montag morgen werden viele Unternehmensanwender diesen Wurm in ihren Mailboxen haben", warnt Ducklin. "Administratoren, die automatische, proaktive Sicherheitsvorkehrungen getroffen haben, sind auf jeden Fall sicherer als Administratoren, die keine entsprechenden Maßnahmen getroffen haben. Und sie haben den Sonntag bestimmt nicht im Büro verbracht."

Sophos gibt Administratoren folgende Empfehlungen:

  • Vergewissern Sie sich, dass Ihre Antiviren-Software up to date ist, sowohl am Gateway als auch am Desktop. Vorbeugen ist besser als Heilen.
  • Ziehen Sie in Erwägung, ein System für unbeaufsichtigte, automatische Updates der Antiviren-Software einzusetzen, wie z. B. Sophos Enterprise Manager.
  • Wenn Sie ein Gateway-Produkt, wie Sophos MailMonitor für SMTP verwenden, sollten Sie E-Mails mit Betreffzeilen, die mit "your account" beginnen, abblocken. W32/Mimail-A verwendet immer diesen Text.
  • Wenn Sie für E-Mail- und Internetzugriff Microsoft-Produkte im Einsatz haben, vergewissern Sie sich, dass Sie die neuesten Sicherheits-Updates installiert haben. Microsoft hat vor Monaten schon ein Patch zur Verfügung gestellt, das die HTML-Sicherheitslücke schließt, die durch diesen Wurm ausgenutzt wird. Microsoft hat außerdem eine Schritt-für-Schritt-Anleitung für Heimanwender zur Verfügung gestellt, damit sie ihre Computer mit den wichtigsten Updates schützen können.
  • Für die Sicherheit verantwortliche IT-Manager sollten sich bei Mailinglisten über Schwachstellen in Software anmelden, wie sie z. B. von Microsoft unter www.microsoft.com/technet/security/bulletin/notify.asp zur Verfügung gestellt werden. Andere Hersteller bieten ähnliche Dienste an.
  • Verwenden Sie nie Attachments, um Informationen zu verbreiten, wenn auch einfacher Text ausreicht. Anwender werden dadurch vorsichtiger, wenn sie E-Mails erhalten wie solche, die W32/Mimail-A erzeugt.
Weitere Informationen: Sicheres Arbeiten mit dem Computer - Hinweise von Sophos.

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren.

Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.