Neue Variante des Yaha-Wurms auf dem Vormarsch
Der im Juni entdeckte Mail-Wurm "Yaha" verbreitet sich in einer neuen Variante.
Win32/Yaha.K zeichnet sich durch die gleichen Schadroutinen aus, er versucht
Antiviren-Software auszuhebeln und hängt sich so in das Windows-System, dass er vor dem
Start einer jeden .exe-Datei ausgeführt wird. Antiviren-Hersteller raten Anwender, ihre
Virensignaturen zu aktualisieren, da die neue Variante nicht unbedingt von alten
Signaturdateien erkannt wird.
Ein möglicher Grund für die erneute Verbreitung ist die Tatsache, dass Yaha.K so genannte
"malformed Attachments" verwendet: Manche Schutzsoftware sieht diese nicht
RFC-konformen Dateianhänge einfach nicht, während Outlook oder Outlook Express sie
problemlos öffnen oder ausführen. So scheitert die Unternehmenslösung MIMESweeper bei
der Erkennung dieser Attachments, wie im MIMESweeper-Forum beschrieben ist. Es gibt
zwar Workarounds wie die Erkennung über den Mail-Text oder Teile des encodierten Virus,
die aber zu Lasten der Scangeschwindigkeit gehen. Das Einspielen von neuen
Virensignaturen hilft hier erst einmal nichts. Vielmehr muss man auf einen baldigen Fix vom
Hersteller hoffen, der einen Mail-Anhang auch als solchen erkennt.
Der im Juni entdeckte Mail-Wurm "Yaha" verbreitet sich in einer neuen Variante.
Win32/Yaha.K zeichnet sich durch die gleichen Schadroutinen aus, er versucht
Antiviren-Software auszuhebeln und hängt sich so in das Windows-System, dass er vor dem
Start einer jeden .exe-Datei ausgeführt wird. Antiviren-Hersteller raten Anwender, ihre
Virensignaturen zu aktualisieren, da die neue Variante nicht unbedingt von alten
Signaturdateien erkannt wird.
Ein möglicher Grund für die erneute Verbreitung ist die Tatsache, dass Yaha.K so genannte
"malformed Attachments" verwendet: Manche Schutzsoftware sieht diese nicht
RFC-konformen Dateianhänge einfach nicht, während Outlook oder Outlook Express sie
problemlos öffnen oder ausführen. So scheitert die Unternehmenslösung MIMESweeper bei
der Erkennung dieser Attachments, wie im MIMESweeper-Forum beschrieben ist. Es gibt
zwar Workarounds wie die Erkennung über den Mail-Text oder Teile des encodierten Virus,
die aber zu Lasten der Scangeschwindigkeit gehen. Das Einspielen von neuen
Virensignaturen hilft hier erst einmal nichts. Vielmehr muss man auf einen baldigen Fix vom
Hersteller hoffen, der einen Mail-Anhang auch als solchen erkennt.
