Update: Neuer "Resume-Virus" im Detail

Der neue Computervirus mit dem Namen "W97M_RESUME.A" gehört zur Klasse der Makroviren. Die Gefahr wird von amerikanischen Virusexperten der Firma Trend Micro als ernsthaft eingestuft. Der Virus greift die Systemdateien von Windows 9x und Windows NT gezielt an, und versucht auch Netzwerklaufwerke zu löschen.

Die gefährliche E-Mail enthält die Betreffzeile "Resume - Janet Simons" und ein angehängtes Word-Dokument mit dem Namen "Explorer.doc", "RESUME1.doc, oder "NORMAL.DOT".

Wird eine dieser Dateien mit Word gestartet, wofür in der Regel ein Doppelklick genügt, sendet sich der Virus automatisch an alle Adressaten im Adressbuch von Microsofts Outlook.

Der Virus kopiert sich danach selbst unter den folgenden Namen in zwei Verzeichnisse:

C:\\WINDOWS\\START MENU\\PROGRAMS\\STARTUP\\Explorer.doc und

C:\\DATA\\NORMAL.DOT.

Diese Dateien sind jeweils 41.472 Byte lang, ebenso wie die Originale. Sein zerstörerisches Werk beginnt "Resume" erst beim Schließen des Word-Dokuments. Dabei versucht er der Reihe nach den Inhalt der folgenden Verzeichnisse zu löschen:

C:\\WINDOWS\\

C:\\WINDOWS\\SYSTEM\\

C:\\WINNT\\

C:\\WINNT\\SYSTEM32\\

"Resume" greift also gezielt auch Windows NT an, das bei vielen Firmen eingesetzt wird. Nach diesen Verzeichnissen versucht der Virus, die Stamm-Verzeichnisse auf allen Laufwerken von A bis Z zu löschen - eine Attacke auf Netzwerke. Damit er möglichst lange arbeiten kann, spart er Laufwerk C:\\ dabei aus - dort hatte er ja schon versucht, das Betriebssystem zu löschen. Wenn der Anwender Glück hat, kommt "Resume" jedoch gar nicht so weit. Die meisten PCs stürzen schnell ab, wenn noch andere Programme im Hintergrund laufen, und auf die System-Dateien zugreifen.

Trend Micro liefert auf seiner Homepage ein komplettes Beispiel der englischsprachigen E-Mail, die demnach so aussieht:

To: Director of Sales/Marketing

Subject: Resume - Janet Simons

Message Body: Attached is my resume with a list of references contained within. Please feel free to call or e-mail me if you have any further questions regarding my experience. I am looking forward to hearing from you. Sincerely, Janet Simons

Attachment: Explorer.doc

"Resume" versucht also, den Anwender durch die weltweite Personalnot in der Hightech-Industrie zum Starten der Word-Datei zu verleiten. Dazu trägt auch der Adressat "Director of Sales/Marketing" bei, den es in jedem größeren Unternehmen gibt, gleich welcher Branche.

Als Sofort-Schutzmaßnahme empfiehlt sich wie immer: Führen Sie keine Dateianhänge aus, deren Übertragung nicht vereinbart war! Das gilt auch, wenn Ihnen der Absender bekannt ist!

Da "Resume" anders als "ILOVEYOU" für die Erstinfektion nicht den "Windows Scripting Host" benötigt, reicht ein Deaktivieren dieses Programms zum Schutz nicht aus.

Administratoren sollten noch an diesem Wochenende die Mailserver ihrer Unternehmen überprüfen, um am Montag Arbeitsausfälle zu vermeiden. Da die Originalversion von "Resume" nach unseren Recherchen nicht mutiert, ist er leicht an der Betreffzeile zu erkennen. Derartige Mails sollten sofort gelöscht werden.

Zusatzinformationen zum Schutz Ihrer E-Mail bietet unser Thema Sichere E-Mail. Weitere generelle Schutzmaßnahmen vor Viren enthält auch der tecChannel-Report zum ILOVEYOU-Virus. (hse/nie)