In der Kokosnuss ist der Wurm drin

Die Sicherheits-Profis von Symantec und Sophos warnen vor einem neuen Internet-Wurm, bei dem es das Opfer selbst in der Hand haben soll, welcher Schaden angerichtet wird. Und zwar in Form eines Geschicklichkeitsspiels.

Der so genannte Coconut-A-Wurm [Link entfernt] verbreitet sich per Mail, in der er für sich als Wurfspiel wirbt. Als Betreff trägt die Mail "The Coconut Game" und im E-Mail-Text den Satz "This game made me feel like I was on a vacation :)".

Im Anhang befindet sich die ausführbare Datei coconut.exe. Sobald Nutzer die Datei doppelklicken, verschickt sich der Wurm zunächst an alle Kontakte im Adressbuch, anschließend startet das Spiel. Dabei muss das Opfer versuchen, möglichst viele Kokosnüsse auf die Köpfe des mutmaßlichen belgischen Hackers Frans Devaere ("ReDaTtAcK") und des Senior Technology Consultant von Sophos, Graham Cluley, zu werfen.

Opfer soll sein Schicksal selbst in die Hand nehmen

Die Anzahl der zerstörten Dateien hängt vom Spielergebnis ab: Je mehr Punkte der Spieler sammelt, desto weniger Dateien werden anschließend zerstört. Einen Trefferpunkt soll es laut Sophos für den Kopf des Hackers geben, zwei für Cluleys. Bei null Treffern verliert das Opfer ganze sechs Dateien, bei einem Treffer fünf Dateien, etc.. Nur wenn dreimal Cluleys Kopf getroffen wird, können alle sechs Dateien gerettet werden.

Ein Dialogfenster klärt hämisch über die infizierten Dateien auf: "In total, you have 5 point(s). Therefore, I have infected 1 files on your computer. To be able to run these files, you'll first have to play this game again. Have a nice day, Gigabyte [Metaphase VX Team"]. Demnach hat das Opfer also die Möglichkeit, erneut sein Glück zu versuchen und die infizierten Dateien so zu bereinigen.

Der Wurm ist angeblich Teil eines Rachefeldzugs der Viren-Autorin "Gigabyte" gegen den Sophos Consultant Cluley. Der soll in einem unbedachten Moment mal behauptet haben, die Mehrzahl der Viren-Programmierer sei männlich. Seitdem schenkt ihm "Gigabyte" erhöhte Aufmerksamkeit. Bereits 2001 widmete sie Cluley den Virus W32/Parrot-A. Inzwischen beeilte sich Cluley zu versichern, dass auch Frauen Viren programmieren könnten. Damals habe er nur sagen wollen, dass Frauen "in den meisten Fällen etwas Besseres mit ihrer Zeit anzufangen wissen".

Bei Sophos ist bisher noch keine Meldung darüber eingegangen, dass der Wurm Schaden angerichtet hat. Dementsprechend gering wird dessen Gefahr eingestuft. Sowohl Sophos als auch Symantec haben mittlerweile ihre Anti-Viren-Software mit Informationen über den Wurm erweitert.

Webber-A missbraucht Rechner für Spam-Versand

Ebenso warnen die Sicherheitsexperten von Sophos und Kaspersky Labs vor einem Trojanischen Pferd namens Webber-A, der auch unter der Bezeichnung Heloc im Umlauf ist. Webber-A treibt seit dem 16. Juli sein Unwesen.

Das Trojanische Pferd soll auf befallenen Rechnern einen Proxy-Server installieren, um diesen dann zum Versand von Spam zu missbrauchen. Die Betreffzeile der E-Mail, mit der Webber verschickt wird, lautet: "Re: Your credit application". Die E-Mail enthält einen Dateianhang, der auf den ersten Blick an eine dahinter liegende Internetadresse erinnert (web.da.us.citi.heloc.pif). Das könnte einige Empfänger dazu veranlassen, die Datei unbedacht zu öffnen. Ist das geschehen, lädt Webber zusätzliche Komponenten von einem entfernten Web-Server herunter und installiert diese auf dem Computer. Neben der Spam-Funktion soll das Trojanische Pferd auch eine Liste der auf dem befallenen PC gespeicherten Passwörter an die Adresse http://weyrauch.addr.com versenden.

Sowohl Sophos als auch Kaspersky Labs haben die Virensignaturen ihrer Schutzsoftware mit Informationen zu Webber-A aktualisiert.