Web

 

Neue Würmer im Umlauf: Hat Sasser-Autor Komplizen?

13.05.2004

Das Landeskriminalamt (LKA) Niedersachsen geht davon aus, dass der Ende vergangener Woche im Kreis Rotenburg an der Wümme festgenommene Urheber der Internet-Würmer "Sasser" und "Netsky" Komplizen hat. Die Beamten haben die Wohnungen von fünf Bekannten des 18-jährigen Schülers durchsucht und eigenen Angaben zufolge umfangreiches Beweismaterial sichergestellt.

Demnach haben zwei Beschuldigte angegeben, den Netsky-Quellcode von dem Virenschreiber erhalten zu haben. Einer der Verdächtigen habe eingestanden, den Code weiterverbreitet zu haben. Weitere Auskünfte erteilt das LKA Niedersachsen mit dem Hinweis auf laufende Ermittlungen zurzeit nicht.

Viren-Experten gehen mittlerweile davon aus, dass die Sasser-Variante F (Computerwoche.de berichtete) nicht vom Urheber selbst stammt. Zwar sei der Quellcode nahezu identisch mit dem der früher aufgetauchten Versionen, jedoch sei der Wurm erst nach der Festnahme des 18-Jährigen freigesetzt worden. Laut Luis Corrons, Leiter des Virenlabors beim Antiviren-Hersteller Panda Software, wurde der Original-Code von einer Person umgeschrieben, die kaum Programmierkenntnisse haben dürfte. Neue Funktionen oder Schadroutinen weise Sasser.F nicht auf.

Mit "Wallon" tauchte am Dienstag erstmals eine neue Virengattung auf. Der Schädling verbreitet sich via E-Mail im HTML-Format, steckt jedoch nicht in einem Dateianhang. Vielmehr wird er über eine Verknüpfung auf eine gefälschte Yahoo-Seite (drs.yahoo.com) im Nachrichtentext nachgeladen. Wallon bleibt inaktiv, bis Anwender versuchen, auf infizierten Rechnern eine Sound- oder Video-Datei mit dem Windows Media Player zu öffnen. Dann legt der Virus mehrere Schlüssel in der Registrierdatenbank an, über die fünf neue Schaltflächen in der Werkzeugleiste des Internet Explorers erzeugt werden. Sie verweisen allesamt auf die Internet-Adresse www.google.com.super-fast-search.apsua.com. Außerdem kopiert er von dieser Adresse die Datei "Alpha.exe" in das Wurzelverzeichnis und versendet sich selbständig an die im Windows-Adressbuch vorhandenen Einträge. Die angewählte Multimedia-Datei wird indes nicht angezeigt und der Mediaplayer zerstört.

Stuart Okin, Chief Security Officer bei Microsoft UK, empfiehlt, den im April mit dem Sicherheits-Bulletin MS04-013 veröffentlichten Patch (Computerwoche.de berichtete) zu installieren. Danach sei Windows vor Wallon geschützt. Der Manager macht außerdem darauf aufmerksam, dass nach einer Bereinigung des Systems, etwa mit Antivirensoftware, der Mediaplayer neu installiert werden muss. (lex)