Update: W32.MyLife-Wurm funktioniert doch

Antivirenhersteller wie Symantec haben entdeckt, dass die Schadensroutine im Wurm W32.MyLife.B@nmm eine Gefahr darstellt. Bei der ersten Prüfung waren die Virenjäger von einer fehlerhaft programmierten Funktion ausgegangen.

Der Wurm selbst verspricht in der zugehörigen Mail eine lustige Karikatur des ehemaligen US-Präsidenten Bill Clinton ("look to bill caricature it's vvvery verrrry ffffunny"). Nach dem Ausführen des Anhangs "cari.scr" wird auch eine Karikatur angezeigt. Unterdessen kopiert sich der Wurm ins Windows-Systemverzeichnis und trägt sich in die Registry ein.

Die Schadensroutine des Wurms versucht, nach dem Neustart des Systems alle Dateien (*.*) aus den Laufwerken C: bis F: zu löschen. Symantec und anderen Antivirenherstellern war es in der ersten Prüfung in Laborumgebung nicht gelungen, diesen Löschvorgang zu reproduzieren. Nun hat sich die Lage verändert. Den neuen Erkenntnissen zufolge liest der Schädling die Systemzeit aus und schlägt zwischen acht und neun Uhr morgens zu, einer Zeit also, in der viele PCs gestartet werden. Dann allerdings funktioniert die Schadensroutine wie geplant und löscht Dateien.

Mit dieser Karikatur versucht der Wurm, sein schädliches Tun zu verdecken.

Zum Selbstversand nutzt "MyLife" wie gewohnt Outlook und die dort gespeicherten Adressen. Dem in Visual Basic geschriebenen Wurm fehlt zwar jegliche Finesse, laut Symantec hat er dennoch das Potenzial, sich schnell zu verbreiten. Bei McAfee ist man zusätzlich um den eigenen Ruf besorgt. In der Mail mit dem Betreff: "bill caricature", die den Wurm enthält, wird fälschlicherweise behauptet, der McAfee-Scanner habe keine Viren gefunden.

Die aktuellen Virensignaturen der Antivirenprogramme sollen den Wurm erkennen. Einen Test von Virenscannern bietet Ihnen der tecCHANNEL-Artikel Virenscanner im Test. Einen Report über die Entwicklung der digitalen Plagegeister finden Sie hier. (uba)