E-Mail-Wurm nutzt Internet-Explorer-Sicherheitslücke

Neben dem Schaden durch den E-Mail-Versand überschreibt der Wurm W32.Klez.A@mm am 13. jeden Monats zahlreiche Dateien auf lokalen Festplatten und auf Netzwerklaufwerken mit Null Bytes und löscht diese so.

Stellenmarkt

1. Fresenius Netcare GmbH, Bad Homburg
2. über duerenhoff GmbH, Wasserburg am Inn

Der E-Mail-Wurm kopiert sich als Krnl132.exe in das Windows-System-Verzeichnis und nistet sich als Autostart-Programm in die Registry ein, so dass der Wurm bei jedem Starten des Rechners automatisch gestartet wird. Der Registry-Eintrag steckt in dem Schlüssel "HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run" und trägt den Wert "krn132 %System%\krn132.exe". Ferner versucht der Wurm laufende Virenscanner zu deaktivieren und kopiert sich darüber hinaus auf angeschlossene Netzwerklaufwerke.

Um sich zu verbreiten, durchsucht der Wurm das Outlook-Adressbuch und versendet sich an alle gefundenen Adressen. Dabei variiert sowohl die Betreffzeile als auch der Dateianhang. Lediglich der Nachrichtentext bleibt gleich und steckt in einer HTML-Nachricht:

"I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?"

Wenn die Anzeige von HTML-Nachrichten deaktiviert ist, bleibt der Nachrichtentext hingegen leer.

In Microsoft Outlook und Outlook Express wird eine solche E-Mail automatisch ausgeführt, wenn nicht der von Microsoft angebotene Patch für den Internet Explorer 5.01 und 5.5 installiert wurde. Der Service Pack 2 für den Internet Explorer 5.01 enthält diesen Patch bereits. Eine Verbreitung des Wurms wäre so auch über eine entsprechend präparierte Web-Site möglich.