W32.Sircam - Wurm mit unerwarteter Karriere

Wer in einer Mail mit den Worten "Hi! How are You?" begrüßt wird, sollte vorsichtig sein, vor allem wenn die Mail einen nicht angeforderten Anhang enthält. Mit dieser Anrede - wahlweise auch auf Spanisch - versucht sich der Wurm W32.Sircam einzuschleichen. Der weitere Text der Mail wird, ebenso wie der Betreff, zufällig erzeugt. Für das verseuchte Attachement nimmt Sircam eine Datei von einem bereits befallenen Rechner, die dann die Endung ".bat", ".com", ".ink" oder ".pif" erhält.

Einmal ausgeführt beginnt der Wurm mit seinem umfangreichen Schadensprogramm, das in manchen Fällen zum Löschen aller Dateien auf Laufwerk C: führen kann. Voraussetzung dafür ist, dass das Datumsformat auf das Muster Day/Month/Year eingestellt ist. Für die Massenverschickung bringt der Wurm eine eigene SMTP-Engine mit. Die Mail-Adressen sucht er sich aus Ordnern zusammen, die in der Registry referenziert sind, etwa unter

HKEY_CURRENT_USER\\ Software\\Microsoft\\ Windows\\CurrentVersion\\ Explorer\\ Shell Folders\\Cache.

Wegen der ausgereiften Verbreitung - auch auf verbundene Laufwerke - und die ausnahmsweise nicht auf Outlook beschränkte Adresssuche vergleicht Symantec den Schädling mit dem Magistr-Virus. In anderen Belangen mangelt es dem Wurm an Reife. Laut Symantec verhindert ein Bug im Code die Verbreitung unter Systemen mit Windows NT und Windows 2000.

Symantec bietet neben den aktuellen Virus-Definitionen als Abhilfe ein Tool an, mit dem sich der Wurm entfernen lässt. Allerdings gilt es bei der Handhabung des Tools einige Besonderheiten zu beachten, weshalb die Anweisungen von Symantec vor dem Einsatz gelesen werden sollten. So muss etwa die Auto-Protect-Funktion des Virenscanner abgeschaltet werden. Symantec beschreibt den Schädling selbst hier detailliert.

Informationen zu Würmern und Viren finden Sie in unserem Artikel Computerviren: Grundlagen. Tipps zum Schutz Ihrer Rechner liefern der Artikel Firewall-Grundlagen und unsere Tests zu Virenscannern und Personal Firewalls. (uba)