Virenwächter warnen vor Plage2000-Wurm

Computer Associates warnt vor dem so genannten Plage2000-Wurm, der sich selbst mittels Outlook oder Exchange verschickt.

"Der Wurm ist im Umlauf", sagen die Experten von Computer Associates. Plage2000 gibt sich als Antwort (Reply) auf eine frühere Mail aus. In der Betreffzeile steht der ganze Text:

"P2000 Mail auto-reply: I'll try to reply as soon as possible. Take a look to the attachment and send me your opinion!. Get your FREE P2000 Mail now!."

Der Anhang, der den Wurm enthält, hat einen der folgenden Namen:

pics.exe, images.exe, joke.exe, PsPGame.exe, news_doc.exe, hamster.exe, tamagotxi.exe, searchURL.exe, SETUP.EXE, Card.EXE, billgt.exe, midsong.exe, s3msong.exe, docs.exe, humor.exe oder fun.exe.

Wird die Datei ausgeführt, präsentiert sich der Wurm als Win.zip-Datei. Beim Extrahieren gibt der Wurm eine Fehlermeldung aus und kopiert sich während dessen unter dem Namen INETD.EXE ins Windows Verzeichnis und fügt einen Eintrag in der Registry hinzu:

HKEY_CURRENT_USER\\ Software\\Microsoft\\Windows NT\\ CurrentVersion\\Windows\\run = "WindowsVerzeichnis"\\INETD.EXE.

Alle fünf Minuten versucht der Wurm dann Verbindung zum Outlook- oder Exchange-Client aufzunehmen. Ankommende E-Mails beantwortet der Wurm noch in ungelesenem Zustand, indem er sich selbst verschickt.

Abhilfe bieten die Updates der Antivirenhersteller. Mehr Informationen über die aktuellen Virenscanner bietet unser Virenscanner-Test. (uba)