190756

Virus: Avril Lavigne erobert PCs im Sturm

09.01.2003 | 13:12 Uhr |

Würmer mit den Namen der Popdiven Jennifer Lopez, Britney Spears und Shakira gibt es bereits. Jetzt ist auch Avril Lavigne zu Ehren gekommen: Seit Mittwoch schlängelt sich der Wurm via Mail, der Messaging-Systeme IRC (Internet Relay Chat) und ICQ sowie Tauschbörsen wie Kazaa durch das Internet und befällt Windows-Rechner in bislang 58 Ländern.

Würmer mit den Namen der Popdiven Jennifer Lopez, Britney Spears und Shakira gibt es bereits. Jetzt ist auch Avril Lavigne zu Ehren gekommen, wie unsere Schwesterpublikation Computerwoche berichtet. Seit Mittwoch schlängelt sich der Wurm via Mail, der Messaging-Systeme IRC (Internet Relay Chat) und ICQ sowie Tauschbörsen wie Kazaa durch das Internet und befällt Windows-Rechner in bislang 58 Ländern. Infizierte Mails tragen unter anderem die Betreffzeilen:

* FW: Prohibited custumers

* Re: Brigade Ocho Free membership

* Re: According to Daos Summit

* Fw: Avril Lavigne - the best

* Re: Reply on account for IIS-Security

* Fwd: Re: Admission procedure

Der eigentliche Schädling, auch als "Livra" oder "Naith" bezeichnet, steckt in einer rund 32 Kilobyte großen Datei, die unter anderem "AvrilSmiles.exe" oder "IAmWiThYoU.exe" heißen kann. Er versucht - ähnlich wie "Klez" - Antivirensoftware und Firewalls auszuhebeln, sagen die Virenexperten von McAfee . Außerdem modifiziert Avril mehrere Schlüssel in der Windows-Registrierdatenbank, schreibt einen Startaufruf in die Stapelverarbeitungsdatei "Autoexec.bat" und kopiert sich in den Papierkorb sowie in das Temp-Verzeichnis.

Neben der harmlosen Schadenswirkung, die Website der namensgebenden Pop-Sängerin zu öffnen, spioniert der Wurm Passwörter aus und versendet sie über einen eigenen SMTP-Server. Außerdem verschickt sich Avril an Mail-Adressen aus dem Windows-Adressbuch und aus lokal gespeicherten HTML-Seiten.

Ferner nutzt der Wurm die so genannte Mime-Header-Lücke der Internet-Explorer-Versionen 5.01 und 5.5. Die Schadroutine wird automatisch ausgeführt, wenn eine infizierte Mail mit Outlook Express auf Rechnern geöffnet wird, auf denen noch nicht der entsprechende Patch eingespielt ist.

Hacker droht mit Mega-Virus im Falle eines Irak-Krieges (PC-WELT Online, 21.11.2002)

0 Kommentare zu diesem Artikel
190756