Wurmalarm

Aggressive Mytob-Varianten verbreiten sich rasant

In Rekordzeit tauchen neue Varianten des Superwurms auf
Von Marie-Anne Winter

Antivirenspezialist Norman hat in den vergangenen Wochen mehrere Varianten des sich schnell verbreitenden Computerwurms Mytob erkannt. Der Wurm öffnet Backdoors und gibt dem Angreifer die Möglichkeit, auf infizierte Computer zuzugreifen.

Norman ASA hat in kürzester Zeit neue Varianten des Mytob-Wurms erkannt. Allein 30 Prozent der im letzten Monat von Norman identifizierten Malware waren Mytob-Varianten, damit gehört er einer sich höchst aggressiv verbreitenden Familie an, die es bislang in dieser Form noch nicht gegeben hat.

"Das ist die höchste Anzahl an Verbreitung neuer E-Mail Würmer innerhalb einer derart kurzen Zeitspanne, die wir global jemals beobachtet haben. Der Wurm verbreitet sich außerordentlich schnell und wir analysieren täglich neue Varianten", so Snorre Fagerland, Senior Virus-Analyst, Norman ASA.

Der Wurm ist eine Kombination aus zwei Familien und kann durch das Vergeben von unerlaubtem Zugang zum Computer großen Schaden anrichten. Firewalls und Virenschutzprogramme können zm Absturz gebracht werden. Mytob kann Windows-Sicherheitslücken nutzen, um sich Zugang zu anderen Bereichen im Computers zu verschaffen.

Traditionelle Virenschutzmethoden reichen nicht

Die Norman SandBox hat nach eigenen Angaben die meisten dieser Varianten erkannt und gestoppt. Die wenigen, die zunächst nicht aufgespürt werden konnten, hat man zum technischen Abgleich der SandBox verwandt, um eine hohe proaktive Erkennungsrate zu gewährleisten.

"Traditionelle Virenschutzmethoden sind im Normalfall nicht in der Lage, diesen Wurm lückenlos zu erkennen". Die patentierte Norman SandBox erkennt und isoliert unbekannte Viren, noch bevor eine entsprechende Virendefinition verfügbar ist. Sie simuliert einen vollständigen Computer mit virtuellem Betriebssystem und allen Bereichen eines kompletten Systems. Weicht eine Datei plötzlich von einem definierten Muster ab, wird ihr Verhalten als nicht standardmäßig klassifiziert. Sie wird daraufhin von Norman SandBox außer Funktion gesetzt und soll dann nicht mehr auf das reale Computersystem zugreifen können.