Weiterer Wurm nutzt Sicherheitsleck im Internet Explorer
Frethem-Wurm versendet sich über eigene SMTP-Engine
Wie zahlreiche Hersteller von Antiviren-Software warnen, verbreitet sich erneut ein Wurm, der eine alte Sicherheitslücke im Internet Explorer für seine Dienste ausnutzt. Immerhin ändert der Frethem-Wurm nicht ständig seine Betreffzeile oder den Nachrichtentext, wie es andere E-Mail-Würmer in jüngster Zeit vormachten.
Der Frethem-Wurm sucht sich E-Mail-Adressen aus dem Outlook-Adressbuch sowie aus Dateien mit den Endungen .dbx, .wab, .mbx, .eml und .mdb zusammen, welche er zur Verbreitung nutzt, indem er sich mit eigener SMTP-Engine versendet. Den Wurm erkennt man an dem Betreff "Re: Your password!" und dem Mail-Anhang in Form der Dateien Decrypt-password.exe und Password.txt. Der Wurm-Code steckt dabei in der Datei Decrypt-password.exe.
Auch der Nachrichtentext bleibt gleich und lautet:
ATTENTION! You can access very important information by this password DO NOT SAVE password to disk use your mind now press cancel
Der Frethem-Wurm nutzt eine alte Sicherheitslücke im Internet Explorer in Zusammenhang mit Outlook und Outlook Express, die dafür sorgt, dass der Mail-Anhang automatisch schon bei der Vorschau der E-Mail ausgeführt wird. Microsoft bietet seit März vergangenen Jahres einen deutschsprachigen Patch für den Internet Explorer 5.01 und 5.5 an, um das Problem zu beheben. Die erneut starke Verbreitung eines Wurms, der dieses Sicherheitsloch nutzt, zeigt, dass das wichtige Einspielen von Patches vielfach nicht stattfindet. Wer den Mail-Anhang in einem beliebigen anderen E-Mail-Programme manuell öffnet, infiziert sich natürlich ebenfalls mit dem Schädling.
Nach der Aktivierung kopiert sich der Wurm als Taskbar.exe in das Windows-Verzeichnis und trägt sich so in die Registry ein, dass der Wurm bei jedem Rechnerstart automatisch ausgeführt wird. Alle namhaften Hersteller von Antiviren-Software bieten bereits aktualisierte Virensignaturen an, um den neuen Wurm zu erkennen und unschädlich zu machen.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed





