"Nyxem.E" versucht am 3. Tag jedes Monats bestimmte Dateitypen zu infizieren

Auch Antivirus- und Firewall-Programme soll der Wurm deaktivieren können

(06.02.06) - MessageLabs hat neue Erkenntnisse zum Massenmail-Wurm "Nyxem.E" gewonnen. Das erste Exemplar von Nyxem.E wurde bereits am 16. Januar 2006 identifiziert. Die potenzielle Gefahr des Wurms besteht darin, dass er versucht am 3. Tag eines jeden Monats, bestimmte Dateitypen zu zerstören sowie Antivirus- und Firewall-Programme zu deaktivieren. Der Start der Verbreitung dieser gefährlichen neuen Nyxem-Variante wurde auf den 15. Januar 2006 gegen 23:00 Uhr datiert.

Die Nyxem-Virenfamilie ist in abgewandelter Form benannt nach der Börsen-Website nymex.com der New York Mercantile Exchange, die im März 2004 von einem DDos-Angriff (Distributed Denial of Service) getroffen wurde. Die Experten von MessageLabs gehen davon aus, dass die neueste Version dieses Virus verbreitet wird, um von kriminellen oder kommerziellen Aktivitäten abzulenken. Das Zerstörungspotenzial ist angesichts des aktuellen Malware-Trends - weg von destruktiven Absichten hin zu Datenspionage - ungewöhnlich hoch. Zugeschrieben wird die Verbreitung des Massenmail-Wurms entweder Teenager-Hackern oder Kriminellen, die den Anschein erwecken wollen, dass der Virus von jungen Freaks in Umlauf gebracht wurde.

Die Aktivitäten könnten laut MessageLabs auch auf einen Wettbewerb zwischen rivalisierenden Virenautoren zurückgehen oder auf jemanden, der auf diese Weise die Effektivität einer bestimmten Technik testen will. Dies könnte dazu dienen, durch Click-througs auf einer Website Umsatz zu generieren oder rivalisierende Werbung zu sabotieren.

Ziel des Virenangriffs sind sämtliche Laufwerke auf einem PC, einschließlich USB- und Netzwerk-Laufwerke. Die darauf abgelegten Daten werden zum Teil beschädigt, aber nicht gelöscht. Gefährdet sind Dateien mit den Extensions *.doc, *.xls, *.mdb, *.mde, *.ppt, *.pps, *.zip, *.rar, *.pdf, *.psd und *.dmp.

Größere Probleme können folglich entstehen, wenn Backups nicht rechtzeitig durchgeführt werden. Der Virus ersetzt den Dateiinhalt durch "DATA Error [47 0F 94 93 F4 K5]". Diese Vorgehensweise deutet stark auf eine Rückkehr zu destruktiver Malware hin, im Gegensatz zum Botnet&Spyware-Trend der letzten Monate.

Ein weiteres Indiz ist die Verbreitungsgeschwindigkeit. Da der Virus stets eine bestimmte Website aufsucht, auf der Logs installiert sind, kann seine Verbreitung leicht verfolgt werden. Daraus lässt sich ablesen, dass der Wurm am 15. Januar 2006 gegen 23:00 Uhr (UTC) seinen Zerstörungszug begann.

MessageLabs hat zudem festgestellt, dass die Verbreitung von Nyxem.E anfänglich langsam in Schwung kam, somit nicht über ein Botnet erfolgte. Der Virus greift auch auf verteilte Netzwerke und Laufwerke als alternative Möglichkeiten für die Verbreitung zurück. Bei den Malware-Angriffen anderer Viren in letzter Zeit waren hingegen eindeutig Botnets im Spiel. Innerhalb von nur einer Stunde tauchten dabei viele Tausende Exemplare eines Virus im Netz auf. Die neue Malware zeigt ein völlig anderes Muster auf: Nyxem.E benötige mehrere Stunden, bevor eine signifikante Aus-breitung erreicht wurde. In den folgenden Tagen nahm die Verbreitung wie erwartet kontinuierlich zu.

Bis zum 27. Januar hat MessageLabs mehr als 4.180.272 Exemplare von 156.358 verschiedenen IP-Adressen abgefangen. Dies entsprach auch der Zunahme in der Web-Statistik, die zur gleichen Zeit Aufrufe von 276.785 IP-Adressen zählte. Somit war fast eines von zwei Exemplaren des Wurms gegen MessageLabs-Kunden gerichtet.

Ebenfalls ungewöhnlich bei Nyxem.E sind die Dateitypen (.mim, .hgx, .bhx, .b64, .uue und .uu), in denen der Virus verbreitet wird. Bislang gab es nur wenige Malware-Vorfälle, bei denen ähnliche Dateitypen zum Einsatz kamen. MessageLabs geht davon aus, dass die Urheber damit Unter-nehmen treffen wollen, deren Gateway-Filter mit Content-Scannern ausgestattet sind, die diese Dateitypen nicht erfassen können. (MessageLabs: ra)