Ein Wurm, der Dateien verschlüsselt, hat sich vor allem in den Niederlanden rasch ausgebreitet, schwappt jedoch auch nach Deutschland herüber. Betroffen scheinen vor allem Unternehmen und Behörden zu sein, auch Krankenhäuser.
Der russische Antivirushersteller Kaspersky Lab hat Ende letzter Woche einen Schädling namens Dorifel entdeckt, der bis dahin weltweit etwa 3000 Rechner befallen hat. Dabei entfallen 90 Prozent der bekannten Infektionen auf Unternehmen und staatliche Einrichtungen in den Niederlanden. Weitere Infektionen sind in Deutschland (129), Dänemark (112), den Philippinen (48) und in den USA (33) festzustellen.
Ausgangspunkt der Infektionen sind offenbar Mails mit schädlichen Anhängen. Dabei nutzt Dorifel einen Schwachpunkt in Windows aus, der es ihm ermöglicht die Dateiendung durch eine Rechts-nach-Links-Schreibung zu verbergen. Wird der Wurm ausgeführt, lädt er weitere Malware aus dem Internet nach, die Dokumente auf den infizierten Rechner und auf erreichbaren Netzwerkfreigaben verschlüsselt.
Auf dem mangelhaft konfigurierten Server, der die Schadprogramme vorhält, findet sich ein bunter Strauß anderer Malware, bei dem bislang unklar ist, ob und inwieweit er mit Dorifel zusammenhängt, sowie weitere Dateien. Darunter sind Log-Dateien, die ausspionierte Bankdaten und Kreditkartennummern enthalten, Exploit-Code für Java Schwachstellen, betrügerische Antivirusprogramme (Scareware) und Infektionsstatistiken der Dorifel-Malware.
Wie das alles zusammenhängen mag, ist noch Gegenstand andauernder Analysen. Es ist auch noch nicht klar, ob es sich um einen gezielten Angriff auf Unternehmen und Behörden in den Niederlanden handelt. David Jacoby empfiehlt im Kaspersky Blog den Datenverkehr mit den IP-Adressen 184.82.162.163 und 184.22.103.202 zu blockieren. Wird derartiger Datenverkehr festgestellt, ist dies ein Indiz für eine Infektion mit Dorifel. Kaspersky Lab bietet mit dem Kaspersky Virus Removal Tool ein Gratisprogramm an, das diesen Schädling (und weitere) entfernen kann.
+49 (0)6324