Tückischer Wurm verbreitet sich wie ein Lauffeuer
Zu allem Überfluss verwendet der Wurm W32.Klez.H@mm ständig wechselnde Betreffzeilen, Absenderadressen und Nachrichtentexte, so dass sich dieser nicht ohne weiteres erkennen lässt. Auch der 94,932 Byte große Datei-Anhang, worin sich der eigentliche Wurm verbirgt, ändert ständig den Namen, so dass der Wurm auch daran nicht zweifelsfrei erkannt werden kann. Der aktive Wurm legt sich entweder lokal auf der Festplatte ab oder kopiert sich auf angeschlossene Netzlaufwerke. Auch hier wird ein wechselnder Dateiname verwendet, der entweder die doppelte Dateiendung txt.exe oder txt.rar trägt. Außerdem infiziert der Wurm ausführbare Programme, indem er die Originaldatei versteckt und die eigentliche Programmdatei mit dem Virencode überschreibt. Nun folgt noch ein passender Eintrag in die Windows-Registry, damit der Wurm bei jedem Neustart des Systems ausgeführt wird.
Damit sich der Wurm schnell und effektiv verbreiten kann, sammelt er E-Mail-Adressen aus dem Outlook-Adressbuch, den ICQ-Kontakten sowie zahlreichen lokalen Dateien. Er durchsucht unter anderem Dateien mit den Endungen .htm, .html, .txt, .pdf, .bak, .rtf, .doc, .asp, .xls sowie .exe nach gültigen E-Mail-Adressen. Anschließend versendet sich der Wurm über seine eigene SMTP-Engine an alle gefundenen E-Mail-Adressen, was für eine besonders schnelle Verbreitung sorgt.
Außerdem besitzt der Wurm einen starken Überlebenswillen: Er deaktiviert eine Reihe von Antiviren-Programmen, die normalerweise im Hintergrund arbeiten und so vor Infektionen schützen sollen. Um auf Nummer Sicher zu gehen, löscht der Wurm zudem die Virensignaturen der Antiviren-Programme, so dass diese machtlos werden. Schließlich bereinigt er noch die Registry, so dass die Virenscanner beim Neustart des Rechners nicht mehr automatisch gestartet werden. Zudem werden einige ältere Würmer wie etwa Nimda oder CodeRed von dem neuen Schädling deaktiviert. Außerdem implantiert W32.Klez.H@mm auch noch den Virus Elkern ins System, der am 13. März und 13. September jeden Jahres alle Dateien auf angeschlossenen Netzlaufwerken löscht.
W32.Klez.H@mm nutzt eine anscheinend bei vielen Anwendern immer noch nicht geschlossene Sicherheitslücke im Internet Explorer 5.0 und 5.5, für die seit über einem Jahr ein passender Patch bereitsteht. Viele E-Mail-Programme, wie etwa Outlook und Outlook Express, nutzen die Rendering Engine des Internet Explorer zur Ansicht von HTML-Mails. Wenn dann der Patch(öffnet im neuen Fenster) für den Internet Explorer 5.01 oder 5.5 nicht installiert ist, genügt bereits die Vorschau einer infizierten HTML-Mail, damit der Dateianhang unbemerkt vom Anwender automatisch ausgeführt wird, was den eigenen Rechner mit dem Wurm infiziert.
Nach Informationen von F-Secure wurde W32.Klez.H@mm zuerst in Asien gesichtet und beginnt gerade, sich auch in Europa und den USA auszubreiten. Bis auf Windows NT 4.0 können alle aktuellen Windows-Plattformen von dem Wurm befallen werden.
Das Bukarester Unternehmen BitDefender bietet bereits ein kostenloses Tool namens AntiKlez(öffnet im neuen Fenster) an, um seinen Rechner nach dem Schädling durchsuchen und diesen vom System entfernen zu lassen. Falls das nicht hilft, gibt Symantec eine ausführliche, englischsprachige Anleitung(öffnet im neuen Fenster) , wie sich der Wurm von einem befallenen System per Hand entfernen lässt.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.