Wurm-W32/Klez bettelt um Beachtung

Antiviren-Spezialist Sophos warnt vor einem neuen Wurm namens W32/Klez. Der Schädling nutzt eine seit März bekannte Schwachstelle in Microsoft-Programmen und scheint damit Erfolg zu haben.

Alias-Namen für W/32Klez sind Klaz und W32/Klez@MM. Der Wurm kommt per HTML-Mail und trägt als Mail-Anhang eine komprimierte Kopie des W98/Elkern-Virus, berichtet unser Schwestermagazin "PC Welt". Alternativ könne sich ein Internet-Benutzer auch durch den Besuch einer präparierten Website infizieren. Klez trägt sich ins Windows-Verzeichnis und in die Registry ein. Außerdem verschickt er sich per Mail an die Einträge im Windows-Adressbuch und kann dadurch eine Mail-Lawine verursachen.

Die Betreffzeile der E-Mail lautet wie folgt: "Hi", "Hello", "How are you?", "Can you help me?", "We want peace", "Where will you go?", "Congratulations!!!", "Don't cry", "Look at the pretty", "Some advice on your shortcoming", "Free XXX Pictures", "A free hot porn site", "Why don't you reply to me?", "How about have dinner with me together?", "Never kiss a stranger". Der Name der angehängten Datei mit dem Virus wird ebenso zufällig erzeugt wie die Absenderangabe, die meist von yahoo.com, hotmail.com oder sina.com stammt.

Die Mail wird als HTML-Text verschickt und enthält folgenden Inhalt: "I'm sorry to do so, but it's helpless to say sorry. I want a good job, I must support my parents. Now you have seen my technical capabilities. How much my year-salary now? No more than $5,500. What do you think of this fact? Don't call my names, I have no hostility. Can you help me?".

Der Wurm nutzt für seine Verbreitung eine schon lange bekannte MIME-Schwachstelle in einigen Versionen von Microsoft Outlook, Outlook Express und im Internet Explorer 5.01 und 5.5 aus. Das entsprechende Security Bulletin MS 01-020 sowie Links zu den Patches finden Sie hier.

Weitere Informationen bieten der Internet-Explorer-Bug-Report und der Virenscanner-Test. (uba)