Eine modifizierte Variante des in der Kyrill-Orkannacht aufgetauchten E-Mail-Wurms "Storm Worm" treibt seit Wochenbeginn nun auch auf diversen Blog- und Forumseiten sein Unwesen. Erfolgte die Weiterverbreitung bisher in erster Linie über das Versenden von E-Mails an die Kontakte eines infizierten Rechners, geht der Wurm nun auch raffinierter vor. So erkennt der veränderte Wurm mittlerweile, wenn ein Anwender von einem infizierten PC aus einen Textbeitrag in öffentliche Blogs oder Foren stellt. Geht der Text online, fügt die Malware automatisch einen Link in den Text ein. Klickt ein Leser wiederum auf diesen Link, wird er auf eine Website mit verseuchten Inhalten geleitet.

"In der Vergangenheit haben wir gesehen, wie Malware-Links über die Adressbücher von Betroffenen weitergeleitet wurden und so die potenziellen Opfer getäuscht haben. Die jetzige Vorgangsweise mit Einbindung von Web-Plattformen ist aber neu", erklärt Dmitri Alperovitch, Sicherheitsexperte bei Secure Computing. Diese Einschätzung bestätigt im Gespräch mit 'pressetext' auch Mikko Hyppönen, Chief Research Officer bei F-Secure, der den berüchtigten Wurm seit seinem Ausbruch Anfang dieses Jahres beobachtet.

"Storm Worm zählt 2007 bisher zu den absoluten Spitzenreitern im Malware-Bereich", so Hyppönen, der die Gefährlichkeit des Wurms unter anderem auf die raschen Mutationszyklen zurückführt. Durch das kontinuierliche Abändern und Anpassen des Schadcodes an die Virenscanner bleibt der Wurm immer wieder eine Zeitlang unentdeckt. Die genaue Analyse und die schnelle Reaktionszeit der Virenschreiber deute auf ihren professionellen Hintergrund hin, so Hyppönen weiter.

Bei der oben beschriebenen Vorgangsweise in öffentlichen Blogs und Foren handle es sich um eine relativ neue Technologie, die auch von Spammern zunehmend eingesetzt werde. "Das Problem ist sicherlich der Überraschungsmoment, da Leute einfach nicht damit rechnen, dass sie in einem persönlich gestalteten Blogeintrag auf einen Malware-Link stoßen", meint Hyppönen. (pte)