154314

Details zum W32/Anset-Wurm alias I-Worm/ANTS3

25.10.2001 | 16:01 Uhr |

Seit einigen Tagen kursieren Mails, in denen angeblich die neueste Version 3.0 des bekannten Trojaner-Scanner ANTS enthalten sein soll. In Wirklichkeit enthält der Mailanhang einen Internet-Wurm. Mittlerweile sind Details zu diesem neuen Schädling bekannt geworden. Der Antiviren-Spezialist Sophos hat bereits mehrere Meldungen über die Verbreitung dieses Wurms bekommen und auch in der Redaktion der PC-WELT traf die Mail mit dem Wurm im Gepäck ein.

Seit einigen Tagen kursieren Mails, in denen angeblich die neueste Version 3.0 des bekannten Trojaner-Scanner ANTS enthalten sein soll. In Wirklichkeit enthält der Mailanhang einen Internet-Wurm ( PC-WELT berichtete ). Mittlerweile sind Details zu diesem neuen Schädling bekannt geworden. Der Antiviren-Spezialist Sophos hat bereits mehrere Meldungen über die Verbreitung dieses Wurms bekommen und auch in der Redaktion der PC-WELT traf die Mail mit dem Wurm im Gepäck ein.

Sophos führt den Win32-Wurm unter dem Namen W32/Anset alias W32/Anset-A, W32/Anset-B, I-worm.Anset.a, I-worm.Anset.b, I-Worm/ANTS3.

Andreas Haak, der Programmierer von ANTS, unter dessen Deckmantel sich der Wurm verbreitet, hat den Wurm eingehend analysiert. Das Ergebnis finden Sie hier . Außerdem hat er zum Aufspüren und Entfernen das Anset-Wurms eine spezielle Version von ANTS entwickelt, die sie hier herunterladen können.

Die beiden Varianten Anset-A und Anset-B unterscheiden sich nur geringfügig im Text der Mail. Der nur 175 Kilobyte große Anset-Wurm läuft auf allen Windows-Systemen und benutzt zur Verbreitung seine eigeneSMTP-Routine.

Wird der Wurm durch einen doppelten Mausklick gestartet, so kopiert er sich unter zufällig generierten Namen in das Windows-Verzeichnis und trägt sich in die Registry ein: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Er durchsucht das Adressbuch von Outlook und Dateien mit den Endungen .CGI, .HTM, .SHTM, .PHP und .PL nach Mailadressen, an die er sich weiter versenden kann.

Besonders problematisch: Der Wurm versteckt sich bei jedem Systemstart in einer anderen Datei und benutzt unterschiedliche Wertenamen im Registryschlüssel. Dies macht eine manuelle Entfernung des Wurms fast unmöglich.

Der Wurm scheint bereits weltweit verbreitet zu sein. Auch bei einigen großen Unternehmen soll der Schädling Haak zufolge bereits zugeschlagen haben, so unter anderem bei der Deutschen Telekom, Microsoft, Activision, 3dfx, Intel, IBM und Corel.

Download I-Worm/ANTS3 Cleaner

0 Kommentare zu diesem Artikel
154314