Virenwächter warnen vor Plage2000-Wurm
"Der Wurm ist im Umlauf", sagen die Experten von Computer Associates. Plage2000 gibt sich als Antwort (Reply) auf eine frühere Mail aus. In der Betreffzeile steht der ganze Text:
"P2000 Mail auto-reply: I'll try to reply as soon as possible. Take a look to the attachment and send me your opinion!. Get your FREE P2000 Mail now!."
Der Anhang, der den Wurm enthält, hat einen der folgenden Namen:
pics.exe, images.exe, joke.exe, PsPGame.exe, news_doc.exe, hamster.exe, tamagotxi.exe, searchURL.exe, SETUP.EXE, Card.EXE, billgt.exe, midsong.exe, s3msong.exe, docs.exe, humor.exe oder fun.exe.
Wird die Datei ausgeführt, präsentiert sich der Wurm als Win.zip-Datei. Beim Extrahieren gibt der Wurm eine Fehlermeldung aus und kopiert sich während dessen unter dem Namen INETD.EXE ins Windows Verzeichnis und fügt einen Eintrag in der Registry hinzu:
HKEY_CURRENT_USER\\ Software\\Microsoft\\Windows NT\\ CurrentVersion\\Windows\\run = "WindowsVerzeichnis"\\INETD.EXE.
Alle fünf Minuten versucht der Wurm dann Verbindung zum Outlook- oder Exchange-Client aufzunehmen. Ankommende E-Mails beantwortet der Wurm noch in ungelesenem Zustand, indem er sich selbst verschickt.
Abhilfe bieten die Updates der Antivirenhersteller. Mehr Informationen über die aktuellen Virenscanner bietet unser Virenscanner-Test. (uba)