Wurm W32.Gone kommt über Outlook, ICQ und mIRC

Die Antivirenexperten Trend Micro und Norman warnen vor dem Wurm W32 Gone.A. Symantec führt ihn unter der Bezeichnung "W32Goner.A@mm". Der Wurm verbreite sich über Microsoft Outlook und ICQ. Das in der Spieleszene beliebte Chat-Programm mIRC sei ebenfalls betroffen.

Trend Micro hat für "Gone A" Alarmstufe Rot ausgegeben. Scheinbar ist der in Visual Basic geschriebene Wurm auf fruchtbaren Boden gefallen. "Die schnelle Verbreitung von WORM_GONE.A übertraf alle Virenausbrüche dieses Jahres", sagte Raimund Genes, Geschäftsführer von Trend Micro Deutschland.

Die in Englisch abgefasste Mail mit dem Wurm im Attachement kommt mit dem schlichten Betreff: "Hi" und verspricht im Text: "How are you? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!"

Die Datei gone.scr (38 KByte) ist UPX komprimiert. Unkomprimiert ist sie laut Symantec 159 KByte groß. Der Wurm trägt sich dann in die Registry ein, %System% entspricht dem jeweiligen Pfad zum Windows-Systemordner:

HKLM/ Software/ Microsoft/Windows/CurrentVersion/ Run %System%gone.scr = %System%gone.scr

Im Taskmanager wird dann eine Anwendung "Pentagone" gestartet und ausgeführt. Der Prozess taucht als gone.scr auf. Der Schädling verschickt sich im Hintergund massenhaft über Outlook.

Abschließend produziert der Wurm zur Tarnung die gefälschte Mitteilung, dass ein DirectX-Problem vorliege. Damit soll wohl verschleiert werden, warum der versprochene Screensaver nicht funktioniert.

Neben der Fähigkeit, sich über Outlook zu verschicken, birgt der Wurm weitere Risiken. Zum einen ist er bei ICQ-Nutzern aufgetaucht, zum anderen auch in mIRC-Programmen.

Bei ICQ durchsucht der Wurm nach Erkenntnis von Antivirenspezialist Kaspersky Labs die Liste der ICQ-Benutzer, die online sind und versucht sich in regelmäßigen Abständen an diese Benutzer zu verschicken. Um seine Aktivitäten zu verschleiern, scannt Goner.A die Namen der ICQ-Dialogboxen. Sind ICQ-Systemmeldungen dabei, die den Benutzer warnen, schließt er diese.

Im Chatprogramm IRC versucht er eine Datei namens Remote.ini zu installieren. Die Datei enthält Code des Wurms, der dann bei jedem Programmstart ausgeführt wird. Der Code erzeugt zufällige Benutzer und kann so den IRC-Kanal lahm legen, teilte Kaspersky Labs mit.

Bis auf die Massenverschickung und die Manipulation des Systems versucht der Wurm nach Erkenntnis von Symantec Norton Antivirus zu löschen. Die namhaften Antivirenhersteller bieten schon Updates der Signaturen für ihre Scanner an oder versprechen diese in Bälde. Ansonsten empfiehlt Symantec Dateien mit dem Namen W32.Goner.A@mm zu suchen und zu löschen. Der oben genannte Registry-Key ist ebenfalls zu löschen.

Informationen zu Würmern und Viren finden Sie in unserem Artikel Computerviren: Grundlagen. Tipps zum Schutz Ihrer Rechner liefern der Artikel Firewall-Grundlagen und unsere Tests zu Virenscannern und Personal Firewalls. (uba)