Neuer Wurm W32/Yaha-E - Klez lässt grüßen

Mehrere Anbieter von Antiviren-Software warnen vor dem neuen Mailwurm W32/Yaha-E, der dem Klez-Wurm ähnelt. Der Schädling verfügt über einen eigenen SMTP-Client. Er durchsucht die Windows-Registry nach einem SMTP-Server, bringt aber auch eine eigene Serverliste mit.

Die vom Wurm gesendete Mail variiere sehr stark, berichtet die Computerwoche. Der Text beginnt entweder mit "Hi - Check the Attachment... - See u", "Attached one Gift for u..." oder "wOW CHECK THIS". Der Rest der Botschaft ähnelt einer weiter geleiteten E-Mail. Angehängt ist eine Datei mit unterschiedlichen Namen und Endungen. Eine Kopie des Attachments deponiert der Schädling im Ordner C:\\Windows\\Temp unter dem Dateinamen "kitkat".

Der Wurm erstellt ferner eine Kopie von sich im Windows-Papierkorb mit einem Namen aus vier zufällig gewählten, klein geschriebenen Zeichen. Deren Pfad wird zum Registrierungseintrag "HKLM\\exefile\\shell\\open\\command\\default" hinzugefügt. Im Windows-Verzeichnis werden zwei Dateien erstellt - je eine .DLL- und .TXT-Datei - die den Namen der Wurmkopie tragen. W32/Yaha-E versucht, eventuell vorhandene Sicherheits-Software zu deaktivieren. Wenn er erstmalig startet, imitiert er einen Bildschirmschoner.

Zusätzliche Informationen bieten der Report Sicher im Web unterwegs und der Virenscanner-Test. Aktuelle Warnmeldungen finden Sie auch im tecCHANNEL-Virenticker. (Computerwoche/jma)