"Servus Alter!" grüßt ein neuer Wurm

Die Virenwächter von Computer Associates warnen vor einem "SouthPark" getauften neuen E-Mail-Wurm. Unter dem Subject "Servus Alter" verspricht der Schädling im E-Mail-Text "Hier ist das Spiel, das du unbedingt wolltest!;-)". Im Anhang bietet der Wurm eine ausführbare Datei namens "SouthPark.exe" an.

Die .exe-Datei enthält die Schadensfunktion. Bislang ist der Wurm in Österreich aufgetaucht. "SouthPark" ist keine Abart des ILOVEYOU-Virus. Er befällt Systeme mit Windows 9x, NT und Windows 2000. Da er in Visual Basic 5 programmiert ist, benötigt er die "MSVBVM50.DLL". Anders als LoveLetter benötigt der neue Wurm den Windows Scripting Host nicht.

Beim Ausführen der Datei passiere vordergründig gar nichts, schreibt CA. Im Hintergrund werde allerdings die Schadensfunktion ausgeführt. Der Wurm versuche sich zum einen selbst an alle Adressen zu verschicken, die er im Outlook Adressbuch findet. Außerdem trage er sich als "Southpark.exe" in die Stammverzeichnisse aller verfügbaren Laufwerke ein. Er kopiert sich laut CA dann unter C:\\winguard.exe und trägt sich in die Registry ein, um bei jedem Start ausgeführt zu werden:

HKEY_CURRENT_USER\\Software\\Microsoft\\ Windows\\CurrentVersion\\Run\\Windll=c:\\winguard.exe

Ein alter Freund lässt grüßen - und schickt einen Wurm im Anhang mit.

Der Wurm erzeugt außerdem die Dateien C:\\Windowsstart.dll und C:\\Windowssystem.dll. Die Windowssystem.dll enthält das Datum der ersten Infektion, die Windowsstart.dll zählt die Neustarts seit der Infektion. Beim ersten Neustart erzeugt der Schädling die Datei C:\\Windows\\Swapfile.vxd. Die Pfadangabe ist Teil des Codes. Das Verzeichnis wird unter C:\\Windows erstellt, egal ob es den Pfad gibt oder nicht. Swapfile.vxd hat laut CA die üble Angewohnheit, sich zu vergrößern, bis die Festplatte voll ist.

Computer Associates empfiehlt als Abhilfe entweder manuell alle genannten Dateien zu löschen, oder das Signatur-Update "InocualteIT signature update 11.27" herunterzuladen. Die anderen Anti-Viren-Hersteller ziehen erfahrungsgemäß mit Updates nach.

Generell gilt, niemals ausführbare Dateien oder Anhänge an E-Mails zu öffnen, deren Übertragung nicht vereinbart wurde. Sich auf den Absender zu verlassen reicht nicht, seit die Outlook-Adressbücher geplündert werden.

Eine Übersicht aktueller Virenprogramme finden Sie in unserem Test. (uba)