Das Kopieren erfolgreicher Ideen zahlt sich häufig aus. So oder ähnlich dachten
wohl die Programmierer des neuen Wurms "TR/Dldr.Small.23" und schickte ihre
Kreation mit ähnlichen "social engineering"-Techniken auf den Weg, wie sie schon
der berühmte Sober-Wurm verwendete. Der deutsche Antivirenspezialist H+BEDV
Datentechnik http://www.antivir.de warnt deshalb alle PC-User vor E-Mails,
die Vorgeben einen Microsoft Sicherheitspatch zu transportieren.
Das gefährliche an ‚Small.23‘ ist vor allem seine hohe Verbreitung", erklärt
Karin Klösges von H+BEDV Datentechnik im pressetext-Interview. "Erst gestern
haben wir das Computervirus via E-Mail bekommen und schon heute verbreitet es
sich extrem rasant über diverse Spamlisten", so Klösges. Während "Sober" aber
versuchte den Hype um Tickets für die Fußball-WM in Deutschland für seine Zwecke
zu verwenden, nutzt der 2.771 Bytes große Trojaner die Angst vor dem Kollegen
"Zotob".
Der Trick den "Small.23" dabei benutzt ist alt aber gut: Der
gefakete Absender "update@microsoft.com" soll User zuerst in
Sicherheit wiegen. Der Betreff "What You Need to Know About the Zotob.A Worm"
nutzt das Medienecho, das die Zotob-Wurminvasion ausgelöst hat. Im weiteren Text
gibt der Wurm dann vor, vor den Zotob-Migrationen "Zotob.A", "Zotob.B",
"Zotob.C", "Zotob.D", "Zotob.E", "Bobax.O", "Esbot.A", "Rbot.MA", "Rbot.MB" und
"Rbot.MC" zu schützen.
Schlussendlich ist der Name des Dateianhanges
"MS05-039.exe" so raffiniert gewählt, als ob wirklich ein Sicherheitspatch von
Microsoft transportiert würde. Der Patch ist jedoch kein Flicken zum Stopfen von
MS-Sicherheitslücken, sondern der getarnte Trojaner selbst. Nach einer
erfolgreichen Infektion des Wirtrechners lädt der Malicious-Code weitere
Schadcodes von noktomaster.com aus dem Internet. "Woher der Quellcode stammt
wissen wir derzeit noch nicht, aber ein entsprechendes Update haben wir bereits
online zur Verfügung gestellt", erklärt Klösges im pressetext-Interview
abschließend.