Ein "alter Bekannter" sorgt in der Spam-Szene wieder für Aufsehen. Die Sicherheitsexperten von BitDefender registrieren vermehrt Infektionen durch den Wurm "Win32.Worm.Mabezat.J". Dieser verbreitet sich über englischsprachige Spam-Mails, die eine mit dem diesem Schädling infizierte Datei "winmail.dat" im Anhang enthält. Der neueste Trick: Die Mails wurden von Cyberkriminellen als konkrete Job-Angebote getarnt.

Dass sich dieser Wurm derzeit so rasant schnell verbreitet, hat sicherlich mit der weiterhin schwierigen Wirtschaftslage zu tun. Viele Cyberkriminelle und Spam-Versender nutzen die derzeitig hohe Arbeitslosenquote und die Hoffnung vieler Beschäftigungsloser auf neue Arbeit dazu aus, um diese etwas naiven Mitbürger mit Schadsoftware "anzustecken". So gehören gefälschte Job-Angebote zu den neuen Methoden der Malware-Autoren, um ihre verseuchten Nachrichten an den User zu bringen. Die auf englisch verfassten Mails werden mit Betreffzeilen betitelt wie "Web designer vacancy", "New work for you", "Welcome to your new work" oder "We are hiring you".

Doch statt eines konkreten Job-Angebotes enthält die Mail einen scheinbar harmlosen Anhang namens winmail.dat. Der User wird gebeten, diese Datei zu entpacken. Anschließend erscheint die Aufforderung zum Öffnen eines Word-Dokuments mit dem Titel Readme.doc. Dieses erweist sich jedoch als eine ausführbare Datei, die mit Win32.Worm.Mabezat.J infiziert ist.

Einmal geöffnet, erstellt die angebliche Readme-Datei unter Nutzung des Windows Explorer ein eigenes Verzeichnis, das den Wurm enthält. Dieser erzeugt anschließend einen Eintrag in der "autorun.inf" inklusive einer neuen Datei mit dem Namen zPharaoh.exe. Dabei handelt es sich um eine Kopie des Wurms. Besonders beunruhigend ist die Tatsache, dass Win32.Worm.Mabezat.J in der Lage ist, die ersten 1768 Bytes einer exe-Datei mit seinem eigenen verschlüsselten Code zu ersetzen, anstatt sich wie andere Schädlinge anzuhängen. Der Wurm infiziert den PC anschließend jedes Mal von neuem, sobald eine solche Datei ausgeführt wird. Beispiele sind der Windows Media Player sowie einige Binär-Dateien in Outlook Express.

Tipps und Tricks darüber, wie Sie als Reseller ihre Kunden vor derartigen Gefahren schützen können, erfahren Sie in der aktuellen Webinar-Reihe von BitDefender.
Am 11. März geht es dort um Client-Security, am 16. März um "Security for File Servers" und am
18. März um "Security for Exchange". Weitere Termine, Themen, Informationen und Anmeldungsmöglichkeiten bei den BitDefender-Webinaren unter: http://www.bitdefender.de/trainings (rw)