Rubrik: Virenwarnung/Aktuelle Meldungen

MessageLabs: Massmailing-Virus mit integrierter SMTP-Engine abgefangen

Neuer Virus-Alert - W32/Mimail.A-mm-Massmailing-Virus nutzt Windows-Sicherheitslücken aus

(05.08.03) - MessageLabs, ein Managed Service Provider, der sich auf Sicherheitsdienstleistungen im E-Mail-Bereich spezialisiert hat, hat am 1. August Kopien eines neuen Massmailing-Virus mit dem Namen W32/Mimail.A-mm abgefangen. Die ersten betroffenen Mails stammten aus den USA.

Name:  W32/Mimail.A-mm

Bisher abgefangene Kopien:  42.149

Uhrzeit und Datum des ersten Zwischenfalls:  1. August 2003, 12:28 GMT

Ursprungsland der ersten infizierten E-Mail:  USA

Zahl der betroffenen Länder: 85 (USA: 80%; UK: 7%)

Charakteristika betroffener E-Mails (entsprechend der bis dato abgefangenen Exemplare)

Absender: Admin <admin@abc.zzz>

(dabei entsprich ‚abc.zzz’ typischerweise der Domain des Empfängers. Die Absenderadresse ist gespooft und gibt nicht die wahre Identität des Senders wieder.)

Betreff: Your account

(Die E-Mail-Adresse des Empfängers kann ebenfalls in der Betreffzeile enthalten sein.)

Nachrichtentext:       

Hello there,

I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.

Best regards, Administrator

Attachment: message.zip

(Die Dateigröße schwankt und liegt bei etwa 16K. Das Zip-File enthält eine Datei mit dem Namen message.htm.)

Charakteristika

·         Die Datei nutzt Windows-Sicherheitslücken, MS02-015 und MS03-014 eingeschlossen, um automatisch auf dem Rechner des Empfängers ein Executable zu erzeugen und nach Möglichkeit auch ablaufen zu lassen. Bei W32/Mimail.A-mm handelt es sich um einen Massmailing-Virus mit integrierter SMTP-Engine, der nicht nur aus dem Adressbuch des infizierten Rechners, sondern auch aus anderen Ordnern und Dokumenten auf dessen Festplatte Adressen extrahieren kann.

·         Einige Charakteristika der E-Mail deuten darauf hin, dass sie unter Verwendung von so genannter "Ratware", einer Software für den Massenversand von Spam-Mails, verschickt worden ist.

Verhalten des Virus

·         Die Replikationsroutine des Virus scheint fehlerhaft zu sein, so dass  dem Executable mit jeder Vervielfältigung eine weitere Kopie des HTML-Skripts hinzugefügt wird, wodurch die Dateigröße mit jeder Generation um 536 Byte zunimmt.

Bis dato hat MessageLabs zahlreiche unterschiedliche Varianten abgefangen. Bis zu 14 Generationen in den ersten 24 Stunden.

So wurden beispielsweise am 1. August innerhalb jeder einzelnen Generation folgende Muster beobachtet:

Count     Size (bytes)          First   Last (GMT)

7              13,477                    13:48   15:37

213          14,013                    12:28   17:16

31            14,549                    15:05   16:50

35            15,085                    14:47   17:03

43            15,621                    13:45   16:31

43            16,157                    15:11   17:18

61            16,693                    15:17   16:46

101          17,229                    14:43   17:04

126          17,765                    15:10   16:58

133          18,301                    15:15   17:44

68            18,837                    15:22   17:44

24            19,909                    16:19   16:59

3              20,445                    16:14   16:30

Die Experten von MessageLabs konnten seit Anfang Juli vermehrt Malware dieser Art abfangen, worunter sich zahlreiche Trojan-Downloaders befanden, die in großen Mengen als Attachments von Spam-Mails verschickt wurden. W32/Mimail.A-mm scheint allerdings als einer der ersten Vertreter dieses Typus die Fähigkeit zu besitzen, sich nach dem ersten Spam-Versand aus eigener Kraft weiter zu verbreiten.

Kommentar:

Der Virus befindet sich in einem Attachment mit dem Namen message.zip und ist deshalb in der Lage, jedes System zu infizieren, das ausschließlich .exe-Attachments oder ähnliches abblockt. Da das Zip-File außerdem eine HTML-Datei enthält, werden auch solche Filter überlistet, die Zip-Dateien auf Executables untersuchen.

MessageLabs hat alle Stränge dieses Virus mit Hilfe ihrer patentierten heuristischen Technologie Skeptic pro-aktiv erkannt und abgefangen. Weitere Informationen finden Sie unter www.messagelabs.com . W32/Mimail.A-mm wurde auch von NAi v4.1 und F-Secure v4.50-247 mit heuristischen Methoden abgefangen. (ma)

MessageLabs

Office UK:

Tel: (0044-1452) 627627, Fax (0044-1452) 627628

Sales:

E-Mail: salesquery@messagelabs.com

General:

E-Mail: info@messagelabs.com

Web: www.messagelabs.com