85092

Neuer Wurm "in the wild"

29.10.2001 | 10:36 Uhr |

Der Antiviren-Spezialist Sophos warnt vor einem neuen Wurm, der bereits mehrfach in freier Wildbahn gesichtet wurde: W32/Klez. Er nutzt eine seit März bekannte Schwachstelle in verschiedenen Microsoft-Programmen.

Der Antiviren-Spezialist Sophos warnt vor einem neuen Wurm, der bereits mehrfach in freier Wildbahn gesichtet wurde: W32/Klez. Er nutzt eine seit März bekannte Schwachstelle in verschiedenen Microsoft-Programmen.

Alias-Namen für W/32Klez sind Klaz und W32/Klez@MM. Der Wurm kommt per HTML-Mail und trägt als Mailanhang eine komprimierte Kopie des W98/Elkern-Virus. Alternativ kann sich ein Internet-Benutzer auch durch den Besuch einer präparierten Website infizieren.

Der Wurm trägt sich in das Windows-Verzeichnis und in die Registry des infizierten Rechners ein. Außerdem verschickt er sich per Mail an die Einträge im Windows-Adressebuch und kann dadurch eine Mail-Lawine verursachen. Die Betreffzeile der Mail trägt einen der folgenden Inhalte: "Hi", "Hello", "How are you?", "Can you help me?", "We want peace", "Where will you go?", "Congratulations!!!", "Don't cry", "Look at the pretty", "Some advice on your shortcoming", "Free XXX Pictures", "A free hot porn site", "Why don't you reply to me?", "How about have dinner with me together?", "Never kiss a stranger".

Der Name der angehängte Datei mit dem Virus wird ebenso zufällig erzeugt wie die Absenderangabe, die meist von yahoo.com, hotmail.com oder sina.com stammt.

Die Mail wird als HTML-Text versendet und enthält folgenden Inhalt: "I'm sorry to do so,but it's helpless to say sorry. I want a good job,I must support my parents. Now you have seen my technical capabilities. How much my year-salary now? NO more than $5,500. What do you think of this fact? Don't call my names, I have no hostility. Can you help me?".

Der Wurm nutzt für seine Verbreitung eine schon lange bekannte Schwachstelle in einigen Versionen von Microsoft Outlook, Outlook Express und im Internet Explorer 5.01 und 5.5 aus. Ein Cracker kann eine Website oder eine HTML-Mail so programmieren, dass eine .EXE-Datei automatisch ausgeführt wird ( PC-WELT berichtete .

Die PC-WELT empfiehlt dringend den zur Verfügung gestelltenPatchaufzuspielen. Danach sollte der Internet Explorer den MIME-Header in HTML-Dateien korrekt behandeln. Übrigens: Benutzer des Internet Explorer 5.01 mit installiertem Service Pack 2 sind von diesem Problem nicht betroffen.

Dieser Wurm ist ein weiteres Beispiel für die Notwendigkeit, neue Patches immer sofort aufzuspielen. Gepatchte Versionen des Internet Explorer 5.01 und 5.5 sind gegen diesen Wurm resistent. Ebenso der Internet Explorer 6.

PC-WELT Virenlexikon

ANTS3-Wurm: Mail-Lawine, Anzeigen und Morddrohungen (PC-WELT Online, 26.10.2001)

Vorsicht: Wurm tarnt sich als Trojaner-Scanner ANTS (PC-WELT Online, 24.10.2001)

0 Kommentare zu diesem Artikel
85092