Computerviren: Grundlagen

Würmer

Würmer infizieren keinen fremden Code, um sich fortzupflanzen. Vielmehr sind sie auf die selbstständige Verbreitung in Netzwerken ausgerichtet, wodurch sie sich von Viren und Trojanern unterscheiden.

Bekannte Vertreter dieser Spezies sind W32/ExploreZip, W32/Ska (auch als Happy99 bekannt) oder W32/PrettyPark. Das Präfix W32 bedeutet, dass es sich um 32-Bit-Programme für Windows 9x und NT handelt.

Unter dem Namen ExploreZip beziehungsweise ZippedFiles verbreitete sich Anfang Juni 1999 ein solcher Wurm für Windows 9x-Systeme. Das Opfer bekommt eine englischsprachige E-Mail mit persönlicher Anrede, an die eine .exe-Datei mit dem Namen ZippedFiles angehängt ist. Das wirkt wie ein normales Zip-Archiv, das sich per Doppelklick öffnen lässt. Stattdessen aktiviert ein Doppelklick den Wurm. Der gibt eine Fehlermeldung aus, die ein korruptes Zip-Archiv bemängelt. Im Hintergrund kopiert er eine Datei namens explore.exe ins System-Verzeichnis von Windows und ändert die win.ini. Damit wird der Wurm bei jedem PC-Start aktiv.

Dann wartet er auf den Start von Outlook, durchsucht den Posteingang und schickt allen Absendern eine Antwort. Dabei benutzt er den Vornamen als Anrede und verspricht eine baldige Antwort auf die ursprüngliche E-Mail. In der Zwischenzeit soll der Empfänger einen Blick auf das angehängte Zip-Archiv werfen - schon ist ein neuer PC infiziert.

Der Schaden, den ExploreZip anrichten kann, ist enorm. Er durchsucht gezielt alle verfügbaren Laufwerke, auch im Netz, nach Quelldateien diverser Programmiersprachen sowie Word-, Excel- und PowerPoint-Dokumenten. Anschließend setzt es die Länge dieser Dateien auf Null. Das erschwert - im Gegensatz zum einfachen Löschen - das Wiederherstellen der Dateien erheblich.