Tückischer Wurm verbreitet sich wie ein Lauffeuer

Wurm deaktiviert Virenscanner und nutzt Sicherheitslücke im Internet Explorer

Seit kurzem verbreitet sich der Wurm W32.Klez.H@mm, eine besonders bösartige Abart des Wurms W32.Klez.E@mm, explosionsartig im Internet. Der Wurm geht besonders perfide zu Werk, denn er deaktiviert zahlreiche Antiviren-Programme und löscht sogar deren Virendateien. Außerdem nutzt er eine Sicherheitslücke im Internet Explorer, so dass ein Anwender die Ausführung des Wurms unter Umständen nicht bemerkt. Zu allem Überfluss versendet sich der Schädling nicht nur an alle Einträge im Outlook-Adressbuch, sondern durchforstet auch zahlreiche lokale Dateien nach E-Mail-Adressen, so dass Experten eine besonders rasante Verbreitung des Wurms erwarten.

Artikel veröffentlicht am ,

Zu allem Überfluss verwendet der Wurm W32.Klez.H@mm ständig wechselnde Betreffzeilen, Absenderadressen und Nachrichtentexte, so dass sich dieser nicht ohne weiteres erkennen lässt. Auch der 94,932 Byte große Datei-Anhang, worin sich der eigentliche Wurm verbirgt, ändert ständig den Namen, so dass der Wurm auch daran nicht zweifelsfrei erkannt werden kann. Der aktive Wurm legt sich entweder lokal auf der Festplatte ab oder kopiert sich auf angeschlossene Netzlaufwerke. Auch hier wird ein wechselnder Dateiname verwendet, der entweder die doppelte Dateiendung txt.exe oder txt.rar trägt. Außerdem infiziert der Wurm ausführbare Programme, indem er die Originaldatei versteckt und die eigentliche Programmdatei mit dem Virencode überschreibt. Nun folgt noch ein passender Eintrag in die Windows-Registry, damit der Wurm bei jedem Neustart des Systems ausgeführt wird.

Stellenmarkt
  1. Projektmanager Digitalisierung Vertrieb (m/w/d)
    MVV Energie AG, Mannheim
  2. Datenbankconsultant
    TEAM GmbH, Paderborn
Detailsuche

Damit sich der Wurm schnell und effektiv verbreiten kann, sammelt er E-Mail-Adressen aus dem Outlook-Adressbuch, den ICQ-Kontakten sowie zahlreichen lokalen Dateien. Er durchsucht unter anderem Dateien mit den Endungen .htm, .html, .txt, .pdf, .bak, .rtf, .doc, .asp, .xls sowie .exe nach gültigen E-Mail-Adressen. Anschließend versendet sich der Wurm über seine eigene SMTP-Engine an alle gefundenen E-Mail-Adressen, was für eine besonders schnelle Verbreitung sorgt.

Außerdem besitzt der Wurm einen starken Überlebenswillen: Er deaktiviert eine Reihe von Antiviren-Programmen, die normalerweise im Hintergrund arbeiten und so vor Infektionen schützen sollen. Um auf Nummer Sicher zu gehen, löscht der Wurm zudem die Virensignaturen der Antiviren-Programme, so dass diese machtlos werden. Schließlich bereinigt er noch die Registry, so dass die Virenscanner beim Neustart des Rechners nicht mehr automatisch gestartet werden. Zudem werden einige ältere Würmer wie etwa Nimda oder CodeRed von dem neuen Schädling deaktiviert. Außerdem implantiert W32.Klez.H@mm auch noch den Virus Elkern ins System, der am 13. März und 13. September jeden Jahres alle Dateien auf angeschlossenen Netzlaufwerken löscht.

W32.Klez.H@mm nutzt eine anscheinend bei vielen Anwendern immer noch nicht geschlossene Sicherheitslücke im Internet Explorer 5.0 und 5.5, für die seit über einem Jahr ein passender Patch bereitsteht. Viele E-Mail-Programme, wie etwa Outlook und Outlook Express, nutzen die Rendering Engine des Internet Explorer zur Ansicht von HTML-Mails. Wenn dann der Patch für den Internet Explorer 5.01 oder 5.5 nicht installiert ist, genügt bereits die Vorschau einer infizierten HTML-Mail, damit der Dateianhang unbemerkt vom Anwender automatisch ausgeführt wird, was den eigenen Rechner mit dem Wurm infiziert.

Golem Akademie
  1. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
    6.–10. Dezember 2021, Virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Zwei-Tage-Workshop
    27.–28. Januar 2022, Virtuell
Weitere IT-Trainings

Nach Informationen von F-Secure wurde W32.Klez.H@mm zuerst in Asien gesichtet und beginnt gerade, sich auch in Europa und den USA auszubreiten. Bis auf Windows NT 4.0 können alle aktuellen Windows-Plattformen von dem Wurm befallen werden.

Das Bukarester Unternehmen BitDefender bietet bereits ein kostenloses Tool namens AntiKlez an, um seinen Rechner nach dem Schädling durchsuchen und diesen vom System entfernen zu lassen. Falls das nicht hilft, gibt Symantec eine ausführliche, englischsprachige Anleitung, wie sich der Wurm von einem befallenen System per Hand entfernen lässt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


paul 23. Aug 2002

ach ja, du meinst also, es ist auf jedem system so einfach wie unter windows viren zu...

kexie 26. Jul 2002

vorsicht bei einer registrierung bei boardy.de - im anhang gibt's den virus gratis mit...

Intermedia 16. Jul 2002

Hallo! Ich hatte heute 4 Emails mit dem "W32.Klz. H@mm"!!! Ich konnte garnichts machen...

Simon 12. Jun 2002

Hallo Hasi. Genau! Mozilla rulez! MfG salm2

bb2k 10. Jun 2002

ist irgend jemand mal auf den gedanken gekommen das man gefallen an ie und outlook hat...



Aktuell auf der Startseite von Golem.de
Softwarepatent
Uraltpatent könnte Microsoft Millionen kosten

Microsoft hat eine Klage um ein Software-Patent vor dem BGH verloren. Das Patent beschreibt Grundlagentechnik und könnte zahlreiche weitere Cloud-Anbieter betreffen.
Ein Bericht von Stefan Krempl

Softwarepatent: Uraltpatent könnte Microsoft Millionen kosten
Artikel
  1. Krypto: Angeblicher Nakamoto darf 1,1 Millionen Bitcoins behalten
    Krypto
    Angeblicher Nakamoto darf 1,1 Millionen Bitcoins behalten

    Ein Gericht hat entschieden, dass Craig Wright der Familie seines Geschäftspartners keine Bitcoins schuldet - kommt jetzt der Beweis, dass er Satoshi Nakamoto ist?

  2. Stellantis: Opel-Mutter will mit Software Milliarden machen
    Stellantis
    Opel-Mutter will mit Software Milliarden machen

    Stellantis will über Marken wie Opel, Ford oder Peugeot Software-Abos verkaufen. Auch eigene Chips und eine Versicherung sollen Gewinn bringen.

  3. Spielfilm: Matrix trifft Unreal Engine 5
    Spielfilm
    Matrix trifft Unreal Engine 5

    Ist der echt? Neo taucht in einem interaktiven Programm auf Basis der Unreal Engine 5 auf. Der Preload ist bereits möglich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Weihnachtsgeschenkt (u. a. 3 Spiele kaufen, nur 2 bezahlen) • PS5 & Xbox Series X mit o2-Vertrag bestellbar • Apple Days bei Saturn (u. a. MacBook Air M1 949€) • Switch OLED 349,99€ • Saturn-Advent: HP Reverb G2 + Controller 499,99€ • Logitech MX Keys Mini 89,99€ [Werbung]
    •  /