"Outbreak Filter" schließt Sicherheitslücke zwischen Virus-Angriff und Signatur-Update

Zusätzlicher Schutz von 12,5 Stunden bei der Mabutu-Variante W32/Mabutu-A

(30.11.05) - Das Bundeskriminalamt warnt derzeit vor Viren-E-Mails mit dem Absender "BKA" und dem Betreff "Sie besitzen Raubkopien". Anwender der neuen Produktgeneration der E-Mail-Appliances von IronPort sind vor solch heimtückischen Viren-Attacken automatisch geschützt. Darauf weist das Unternehmen jetzt hin. Denn der "Virus Outbreak Filter 2.0" stellt verdächtige Viren-E-Mails temporär in Quarantäne, um den Zeitraum zwischen erstem Angriff und dem Eintreffen der Viren-Signatur zu überbrücken. Sobald das Antiviren-Update verfügbar ist, werden die unerwünschten Nachrichten automatisch gefiltert.

Der Anhang der aktuellen Bedrohung enthält den E-Mail-Wurm W32/Sober-Z, der sich beim Öffnen automatisch an die im Adressbuch gelisteten Adressen weiterversendet und das infizierte System für weitere Angriffe aus dem Internet verwundbar macht. Der Virus Outbreak Filter hat die Anwender bereits kurz nach erstem Auftreten des Wurms geschützt. Die erste Viren-Signatur war jedoch erst vier Stunden und 38 Minuten später erhältlich. Der Virus Outbreak Filter ist auch für Internet Service Provider einsetzbar, die mit IronPort-Appliances eine große Anzahl von E-Mail-Usern schützen wollen.

Auch bei der am 17. November 2005 aufgetauchten Variante des Mabutu-Virus W32/Mabutu-A erhielten die Nutzer des Virus Outbreak Filters einen Zeitvorsprung von zwölf Stunden und 26 Minuten beim Schutz vor einem Angriff. Erst nach dieser Zeit war die erste Anti-Virus-Signatur als Gegenmaßnahme verfügbar. "Bis dahin ist die Infrastruktur dem neuen Schädling schutzlos ausgeliefert, da er mangels Signatur nicht erkannt wird. Der Zeitraum der Signaturlücke von einem ganzen Arbeitstag würde ausreichen, um den kompletten E-Mail-Verkehr lahmzulegen", sagte Reiner Baumann, Regional Director von IronPort Zentral- und Osteuropa. Der W32/Mabutu-A ist ein E-Mail-Wurm und IRC-Backdoor-Trojaner, der sich als E-Mail-Attachment mit einer ZIP- oder SCR-Erweiterung versendet. Über MSN-Messenger versucht er, Informationen vom infizierten Computer zu erhalten und diese über IRC-Kanäle an Remote-User zu senden. (IronPort: ra)