Neuer Wurm ist schnell und raffiniert

Antivirenspezialist Symantec warnt vor einem neuen Wurm mit der Bezeichnung "VBS.Stages.A". Der Wurm verbreitet sich über Microsoft-Outlook, die Chatprogramme mIRC und PIRCH und den Instant Messenger ICQ. Er bringt die Datei "LIFE_STAGES.TXT.SHS" als Attachment mit.

Symantec schätzt die eigentliche Schadensfunktion als gering ein. Der Wurm verbreitet sich mehr oder minder nur selbst, dies aber mit einer potenziell hohen Geschwindigkeit und viel Raffinesse. Mail-Server von großen Unternehmen können dadurch Probleme bekommen. Darüber hinaus sei der Wurm händisch schwer zu entfernen, da SHS-Dateien (Microsoft-Scrap-Object-Dateien) nicht im Microsoft Explorer auftauchen, auch wenn die Einstellung alle Dateien anzeigen gewählt wurde. Außerdem nimmt der Wurm viele Veränderungen vor. Er trägt sich unter anderem in die Registry ein um bei jedem Systemstart präsent zu sein:

HKLM/Software/Microsoft/Windows/ CurrentVersion/RunServices/ScanReg

Um den eigenen Eintrag in der Registry zu schützen, versteckt der Wurm die Datei REGEDIT.EXE als RECYCLED.VXD im Windows-Papierkorb. Der Wurm beschickt die Verzeichnisse Eigene Dateien, Windows/Start/Programme und die Stammverzeichnisse aller gemappten Laufwerke mit einer dynamisch benannten und nummerierten "SHS-Datei". Zur Auswahl stehe laut Symantec dafür "IMPORTANT", "INFO", "REPORT", "SECRET", oder "UNKNOWN". Der Name wird mit einer Zahl zwischen 1 und 1000 gekoppelt, sodass zum Beispiel eine Datei namens "IMPORTANT-707.TXT.SHS" entsteht.

Der Wurm generiert auch das Subject der E-Mail dynamisch. Dafür stehen laut Synmantec derzeit folgende Betreffzeilen zur Auswahl: "Life stages", "Funny", "Jokes". Teilweise wird das Wort Text angehängt sodass der Betreff folgendes Aussehen haben kann: "Fw: Life stages", "Jokes text" or "Fw: Funny text".

Auf infizierten Rechnern versucht sich der Wurm über das Outlook-Adressbuch, ICQ oder die Chat-Clients mIRC und PIRCH zu verbreiten. Öffnet man den E-Mail-Anhang, zeigt der Wurm eine Text-Datei in "Notepad" an, die von den verschiedenen Abschnitten (Stages) im Leben von Männern und Frauen handelt und führt im Hintergrund sein Skript aus. Symantec und auch die anderen Virenspezialisten bieten Updates für ihre Antivirensoftware an.

Generell sollten nie E-Mail-Anhänge geöffnet werden, die man nicht erwartet. Seit der Verbreitung von Viren über das Adressbuch von Outlook bietet ein scheinbar bekannter Absender keine Gewähr mehr. Weitere generelle Schutzmaßnahmen vor Viren enthält der tecChannel-Report zum "ILOVEYOU-Virus". Zusatzinformationen zum Schutz Ihrer E-Mail bietet der Report "Sichere E-Mail". (uba)