E-Mail-Wurm nutzt Internet-Explorer-Sicherheitslücke

Neben dem Schaden durch den E-Mail-Versand überschreibt der Wurm W32.Klez.A@mm am 13. jeden Monats zahlreiche Dateien auf lokalen Festplatten und auf Netzwerklaufwerken mit Null Bytes und löscht diese so.

Stellenmarkt

1. McFIT GMBH, Berlin
2. HERMA GmbH, Filderstadt-Bonlanden

Der E-Mail-Wurm kopiert sich als Krnl132.exe in das Windows-System-Verzeichnis und nistet sich als Autostart-Programm in die Registry ein, so dass der Wurm bei jedem Starten des Rechners automatisch gestartet wird. Der Registry-Eintrag steckt in dem Schlüssel "HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run" und trägt den Wert "krn132 %System%\krn132.exe". Ferner versucht der Wurm laufende Virenscanner zu deaktivieren und kopiert sich darüber hinaus auf angeschlossene Netzwerklaufwerke.

Um sich zu verbreiten, durchsucht der Wurm das Outlook-Adressbuch und versendet sich an alle gefundenen Adressen. Dabei variiert sowohl die Betreffzeile als auch der Dateianhang. Lediglich der Nachrichtentext bleibt gleich und steckt in einer HTML-Nachricht:

"I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?"

Wenn die Anzeige von HTML-Nachrichten deaktiviert ist, bleibt der Nachrichtentext hingegen leer.

In Microsoft Outlook und Outlook Express wird eine solche E-Mail automatisch ausgeführt, wenn nicht der von Microsoft angebotene Patch für den Internet Explorer 5.01 und 5.5 installiert wurde. Der Service Pack 2 für den Internet Explorer 5.01 enthält diesen Patch bereits. Eine Verbreitung des Wurms wäre so auch über eine entsprechend präparierte Web-Site möglich.