Skip to content

Ein E-Mail-Wurm führt zur Panik?

Die Zeit der E-Mail-Würmer schien eigentlich vorbei zu sein. Wer rechnet 2010 schon noch damit, dass sich ausgerechnet ein E-Mail-Wurm rasant verbreitet? Das haben sich anscheinend auch Cyberkriminelle gedacht und gerade dieses "nicht damit gerechnet haben" ausgenutzt. Jedenfalls hat sich Ende letzter Woche ein neuer E-Mail-Wurm vor allem in den USA schnell verbreitet. Unter dem Subject "Here you have" oder "Just For you" werden Links zu einem Sex-Video ("This is The Free Dowload Sex Movies,you can find it Here") oder einem angeblich angekündigten Dokument ("This is The Document I told you about, you can find it Here") verbreitet. Berichten zufolge wurden u.a. die Netze einiger amerikanischer Unternehmen, vor allem ABC/Disney, hart getroffen.

"Here you have"... eine .scr-Datei

Der Link in der Mail scheint zu einer .wmv- bzw. .pdf-Datei zu führen, tatsächlich landet aber eine (ausführbare) .scr-Datei auf dem Rechner. Ein Doppelklick öffnet nicht die Video- oder PDF-Datei, sondern startet den Wurm. Der wird von Microsoft als Visal.B und von McAfee als VBMania bezeichnet und sendet sich selbst an alle im Outlook-Adressbuch gefundenen E-Mail-Adressen und die Yahoo!-Messenger-Kontakte. Das ist nichts neues, das haben E-Mail-Schädlinge schon immer gemacht. Ein Grund, den neuen Wurm in den Medien als besondere Bedrohung darzustellen, ist das bestimmt nicht.

Nichts besonderes drin

Inzwischen gibt es mehrere Analysen des eingeschleusten Schadcodes, z.B. von Microsoft (Update), McAfee, Trend Micro, Symantec, Kaspersky und Sophos.

Der Wurm versucht, sich außer über E-Mails auch über mobile Massenspeicher und Netzwerklaufwerke zu verbreiten. Außerdem versucht er, sich auf andere Rechner der lokalen Arbeitsgruppe zu kopieren. Die Schadfunktionen umfassen das Ausschalten verschiedener Schutzprogramme wie z.B. Virenscanner und das Nachladen von Code, u.a. einer Backdoor und Routinen zum Ausspähen von Zugangsdaten. Auch das ist für Schadsoftware typisch. Der Wurm ist also sozusagen "Standard" für die Schadsoftware-Entwickler. Ein Grund für besonderes Medieninteresse? Eigentlich nicht, außer vielleicht für ABC/Disney, die ja angeblich selbst betroffen sind.

Der Wurm ist tot. Vorerst.

Die in den Wurm-Mails verlinkten Dateien sind inzwischen nicht mehr erreichbar, so dass die ursprüngliche Verbreitung über E-Mails vorerst gestoppt ist. Bis jemand die Links anpasst, und das Spiel von vorne los geht... aber auch dann besteht kein Grund zur Panik. Und wie F-Secure berichtet hat, war die Wurmverbreitung in Europa sowieso nicht besonders hoch, die Dateien waren schon offline, bevor Europa richtig wach wurde.

Trend Micro hat versucht, den Ursprung des Wurm zu finden: "From Alicia to Africa to Anywhere Else: Possible Origin of the ‘Here you have’ Spam Campaign". Der Titel sagt eigentlich schon alles: Woher der Wurm kam, lässt sich nicht wirklich feststellen. Immerhin scheint er schon seit Mitte Juli zu kursieren und ursprünglich nur im Rahmen gezielter Angriffe verwendet worden zu sein.

Irgend ein Grund zur Panik?

Übrigens findet F-Secure (im Gegensatz zu vielen Mitbewerbern) nichts besonderes an dem Wurm und stellt fest "Don't readily click on links that arrive via e-mail, even if they are sent by people that you ordinarily trust." Dem ist eigentlich nichts hinzuzufügen. Aber da ja wohl viele Benutzer trotz aller Warnungen die Links angeklickt und dadurch dem Wurm erst zu seiner Verbreitung verholfen haben, werde ich es doch tun. Und zwar aus einem etwas anderen Blickwinkel: "Woher weiß ich, dass eine E-Mail tatsächlich vom angeblichen Absender gesendet wurde?"

Wer hat die Mail geschrieben?

Es gibt eine ganz einfache Möglichkeit, um sicher zu stellen, dass eine E-Mail wirklich vom angeblichen Absender stammt und unverändert ist: Der Absender muss die Mail nur signieren. Alle unsignierten Mails von diesem Absender kann man dann unbesehen löschen, bei einer falschen Signatur sollte man sich ggf. Gedanken darüber machen, wer einen denn da wohl weshalb angreift. Alles ganz einfach, oder? Theoretisch ja, praktisch nein. Wer will schon für eine Mail, in der er nur mal eben einen Link weiterleitet oder ein Dokument verschickt, den Aufwand des Signierens auf sich nehmen? Das lässt sich zwar teilweise automatisieren, aber dann läuft man wieder Gefahr, dass Schadsoftware diese Automatisierung ausnutzt und signierte Mails verschicken kann. Es ist aus Sicherheitsgründen zumindest eine Passwortabfrage zur Freigabe des zur Signatur benötigten privaten Schlüssels notwendig, und wer will schon für eine Mail mit einem simplen Link extra noch ein Passwort eingeben?

Auf der Empfänger-Seite ist das etwas einfacher, die Signatur kann der Mail-Client selbständig prüfen und ein entsprechendes Icon für erfolgreiche oder fehlgeschlagene Prüfung einblenden. Aber was ist dann mit einer "Here you have"-Mail, in der z.B. "Sorry for the broken signature, my system crashed, but this mail is really from me" steht? Alles klar, die Signatur stimmt wie angegeben nicht, also wird fröhlich auf den Link geklickt.

Eine Signatur schützt vor E-Mail-Würmern nicht, da die auf Fehler beim Empfänger setzen und das Social Engineering ggf. an vorhandene Sicherheitsfunktionen angepasst wird. Da helfen nur Vorsicht, Vorsicht und nochmals Vorsicht. Aktuelle Schutzprogramme sind auch nicht zu verachten, können aber nicht alle Angriffe verhindern und führen leicht zu einem falschen Sicherheitsgefühl, frei nach dem Motto "Ich klicke das jetzt einfach mal an, wenn es ein Virus ist, fängt der Scanner ihn ja ab!". Falls es dann ein Angriff auf eine neue Schwachstelle oder auch nur ein neuer Exploit für eine alte Schwachstelle ist, den der Scanner noch nicht kennt und mit seinen Heuristiken etc. auch nicht erkennt... Pech gehabt.

Welche Mails sind verdächtig?

Tony Millington von Symantec weist in seiner Analyse auf die Grammatikfehler und merkwürdigen Formatierungen in den Wurm-Mails sowie die Fehler im HTML-Code hin und scheint der Meinung zu sein, dadurch wären die Mails verdächtig. Ist das wirklich so? Vielleicht werden ja bei Symantec nur Mails in völlig fehlerfreiem Englisch mit vollkommen richtiger Zeichensetzung und mit Unterschrift verschickt, aber im Normalfall wird doch gerade bei diesen kurzen Info-Mails kaum darauf geachtet.

Und was den HTML-Code der Mail betrifft - den hat sich doch auch Tony Millington nur angesehen, weil er die Mail untersucht hat, oder? Welcher Mailempfänger sieht sich denn den Quelltext an? OK, ich tue es, weil mein Mail-Client kein HTML rendern darf und es daher automatisch als Quelltext anzeigt, wenn kein Text-Teil da ist, aber für die meisten Benutzer sind HTML-Mails doch inzwischen völlig normal. Warum sollten die sich den Quelltext ansehen? Und vor allem: Was hätten sie davon? Die wenigsten Opfer des Wurm dürften mit HTML-Quelltexten viel anfangen können.

Woran erkennt man also eine verdächtige Mail? In Deutschland m.E. nur daran, dass jemand, der bisher immer im Deutsch geschrieben hat, eine Mail mit z.B. englischem Text schickt. Ansonsten hilft nur der alte Rat "Nicht blind auf alles klicken, was einem unter den Mauszeiger kommt!" Wenn Sie unaufgefordert bzw. unangekündigt eine Mail mit einem Link darin von einem vertrauenswürdigen Absender bekommen, fragen Sie sich, ob diese Mail in diesem Kontext wirklich vom tatsächlichen Absender stammen kann, und beim geringsten Zweifel kann man ja einfach nachfragen (das gleiche gilt natürlich sinngemäß für Mails mit Anhängen aller Art).

Eher ein Grund zur Panik...

... wäre in der vorigen Woche die neue 0-Day-Schwachstelle im Adobe Reader und Acrobat gewesen, die bereits für Angriffe ausgenutzt wird. Aber 0-Day-Schwachstellen im Adobe Reader sind inzwischen ja so normal, dass sie ohne Angriffe darüber gar nicht erwähnenswert sind. Und selbst mit Angriffen sind sie eigentlich nichts Besonderes.

In Microsofts Security Research & Defense Blog wurde eine Anleitung veröffentlicht, mit der der aktuelle Exploit, der fehlende Schutzfunktionen in der Bibliothek icucnv36.dll ausnutzt, durch das Aktivieren der Schutzfunktionen mit Hilfe des Enhanced Mitigation Experience Toolkit 2.0 (EMET) unbrauchbar gemacht werden kann. Sicherer ist es natürlich, den Adobe Reader zu löschen, der nächste Exploit und die nächste 0-Day-Schwachstelle kommen bestimmt.

Carsten Eilers

Trackbacks

Keine Trackbacks