Foto: Panda Software

Duisburg (pte022/09.10.2006/13:50) - Mit einer Flut von verschiedenen Varianten überschwemmt derzeit der Spamta-Wurm das Internet. "In der letzten Woche haben wir über 67 neue Exemplare identifiziert", sagt Margarita Mitroussi, Sprecherin des Anti-Viren(AV)-Unternehmens Panda Software http://www.panda-software.de , im Gespräch mit pressetext. Insgesamt seien nun schon über hundert verschiedene Exemplare des Wurms im Umlauf. Die Experten der PandaLabs gehen davon aus, dass der Wurm-Autor auf der Suche nach dem perfekten Schädling ist und die bislang aufgetauchten Variationen nur Testprogramme sind, mit denen die Effizienz der Programmierung ausprobiert werden soll.

Alle Muster der Wurm-Familie sind sehr ähnlich. Unterschiede gibt es im Nachrichtentext, der als Köder benutzt wird, in Größe und Format der verseuchten Datei, die an die Mail angehängt ist, sowie bei den Dateien, die auf den infizierten Rechnern kopiert werden. Variieren kann auch die Meldung, die während der Installation des Wurms angezeigt wird. So öffnet die CY-Variante den Notepad und zeigt eine Reihenfolge unsinniger Zeichen an, während Spamta.FQ ein Fenster mit der Meldung, dass das Update Programm erfolgreich installiert wurde, anzeigt. Gleichzeitig suchen alle Exemplare nach vorhandenen E-Mail-Adressen und versenden an diese Wurm-Kopien über die eigene SMTP-Engine.

Das massenweise Versenden von unterschiedlichen Varianten bezweckt die Erhöhung der Infektionswahrscheinlichkeit. Dabei wird die Schwachstelle von traditioneller AV-Software ausgenutzt, denn ohne Identifizierung des Schädlings und Update des Programms können neue Schdprogramme nicht abgewehrt werden. Die Lücke zwischen dem Auftauchen des Virus und der Aktualisierung der Virensignaturen wird zum Einschleusen des Schadcodes in den Computer genutzt. Diese Vorgehensweise ist schon von anderen Wurmattacken bekannt (pressetext berichtete: http://www.pte.at/pte.mc?pte=050427004 ).

Was jedoch der Endzweck dieser Verbreitung im großen Stil ist, darüber können die Experten nur mutmaßen. "Die Spamta-Vertreter weisen derzeit noch kein hohes Schadpotenzial auf. Daher rechtfertigen die Auswirkungen den Aufwand des Autors nicht", so Mitroussi. Vorstellbar ist, dass den Testexemplaren ein weitaus gefährlicherer Wurm folgen könnte. Die Experten der PandaLabs gehen davon aus, dass anhand der Testversionen ein schädlicher Code entwickelt werden soll, der in kurzer Zeit eine große Anzahl von Rechnern infizieren kann. Findet der Wurm-Schreiber das passende Exemplar, wird er den Schädling wohl mit weiteren Features ausstatten, um seine wahren Absichten zu realisieren und weitaus schädlichere Aktivitäten auszuführen, so die Experten.

(Ende)