Abart von NewApt-Wurm ist im Umlauf

Eine neue Version des NewApt.D-Wurms ist unter der Bezeichnung NewApt.D aufgetaucht. Der Wurm verbreitet sich laut Computer Associates via E-Mail und versucht zusätzlich Verbindung mit Webservern aufzunehmen.

Der als NewApt.D bezeichnete Wurm ist eine neue Variante aus der bereits bekannten NewApt-Familie der Win32-Würmer. Der Wurm verbreitet sich über E-Mails und ausführbare Dateien. Die Mail enthält den folgenden Text:

"hey, your lame client can't read HTML, haha. Click attachment to see some stunningly HOT stuff".

Das Attachement kann verschiedene Namen haben:

Amateur.exe, Asians.exe, Babes.exe, Bizarre.exe, Cartoons.exe, Ebony.exe, Fatladies.exe, Fetish.exe, Group.exe, Hidcam.exe, Hidcams.exe, Male.exe, Mature.exe, Miscellan.exe, Mixedbag.exe, Pregnant.exe, Toys.exe oder Weird.exe.

Beim Ausführen erzeugt der Wurm eine Anzahl von neuen Registry Einträgen unter dem Schlüssel:

HKEY_CURRENT_USER\\ SOFTWARE\\Microsoft\\Windows.

Die Unterschlüssel heißen: Sbkey: iclude: cat, cd, itn, jk, lms, mda, mde. Außerdem erzeugt der Wurm den Eintrag "Scandsks" unter

HKEY_CURRENT_USER\\ SOFTWARE\\ Microsoft\\Windows\\CurrentVersion\\Run.

Neben der Verbreitung über Netscape, Outlook und Outlook Express nach dem üblichen Muster, versucht der Wurm im Zeitraum zwischen dem 2. März und dem 12. Juli Verbindung zu verschiedenen Webserver aufzunehmen, deren Nummern er gespeichert hat.

Die aktuellen Updates der Scanner von Antivirenhersteller wie Computer Associates helfen gegen den Plagegeist. Informationen zu Virenscannern bietet unser Virenscanner-Test. (uba)