Neue Viren mit sozialer Schadensroutine

7. Juni 2003, 13:23
6 Postings

Absender-Benachrichtigung sollte deaktiviert werden

"Soziale Schadensroutinen" sind bei neuen Varianten von Computerschädlingen en Vogue. Die Würmer Sobig.C und Bugbear.B (auch Tanatos.B genannt) beispielsweise haben "verbesserte" Funktionen zur Generierung von Absender- und Empfängeradressen. Anstatt bei der Weiterverbreitung von einem erfolgreich infizierten System aus eine fixe Absenderadresse anzugeben, werden unterschiedliche, tatsächlich existierende E-Mail-Adressen vorgetäuscht. "Dadurch werden viele User total verunsichert. Sie beschuldigen völlig Unbeteiligte der Virenverbreitung und manche Firmen werden von sinnlosen Virenwarnungen überflutet", berichtet Joe Pichlmayr, Chef des Anti-Viren-Spezialisten Ikarus.

"Palyh" oder "Mankx"

Der Mitte Mai als "Palyh" oder "Mankx" bekannt gewordene Wurm "support@microsoft.com". Sobig.C hingegen durchforscht Adressbücher und Browser-Caches infizierter Rechner nach E-Mail-Adressen. Diese benutzt er dann nicht nur als Empfänger einer Kopie von sich selbst, sondern auch als Absendertarnung. Dies führt dazu, dass auf häufig besuchten Webseiten enthaltene E-Mail-Adressen auch häufig fälschlich als Absender aufscheinen. Viele Virenschutzprogramme sind wiederum so eingestellt, dass sie bei Erkennung eines gefährlichen E-Mails eine Warnung an den vermeintlichen Absender schicken - dessen Systeme in der Regel aber gar nicht infiziert sind. Auch manche User greifen spontan zum Telefon um eine gut gemeinte Warnung zu übermitteln. "Jeder zweite Anruf bei unserem Support ist inzwischen ein Fehlalarm 'Ihr verschickt Viren!' oder 'Das Unternehmen XY bombardiert mich mit Würmern'", berichtet Pichlmayr pressetext.austria, "Wir versenden aber keinesfalls Viren. Jedes E-Mail, das unser Haus verlässt, wurde zuvor mit den aktuellsten Virensignaturen gescannt."

Zwei Empfehlungen

Viren-Experte Pichlmayr empfiehlt Zweierlei. Einerseits sollten die durch Schutzsysteme automatisch erfolgenden Benachrichtigungen fremder User deaktiviert werden. Es sei zwar sinnvoll, bestimmte Dateitypen gleich am Server zu filtern, aber: "Wenn völlig Unbeteiligte Dutzende gleichlautende Mails mit Informationen über die E-Mail-Richtlinien einer ihnen wiederum unbekannten Stelle erhalten, schadet so etwas mehr, als es nutzt." Zweitens sollte vor der Kontaktaufnahme mit einem vermeintlichen "Virenschleuderer" in den Headern der Virenmails überprüft werden, woher die schädlichen Nachrichten tatsächlich gekommen sind. Doch auch der Ikarus-Chef weiß: "Viele User wissen leider nicht einmal, was Mailheader sind." Ikarus hat detaillierte Ratschläge zu diesem Thema veröffentlicht. Informationen über E-Mail-Header finden sich hier.(pte)

Link

Ikarus

Share if you care.