Weihnachts-Würmer: Maldal und Coolsite

Zwei neue Würmer verbreiten sich in den letzten Tagen. Die Schädlinge scheinen noch keine globale Infektionswelle ausgelöst zu haben, verfolgen aber neue Ansätze, die in Zukunft die Gefährdung steigern können.

Die großen Antiviren-Hersteller warnen unisono vor den Würmern "W32.Maldal.C@mm" (auch bekannt als "Zacker") und "JS.Coolsite@mm". Maldal erscheint zunächst wie aus dem Lehrbuch für Windows-Würmer konzipiert: geschrieben in Visual Basic, automatischer Versand per Outlook (Betreff: "Happy New Year", Attachement: "Christmas.exe") und Eintrag in die Registry. Außerdem ändert der Wurm den Netzwerknamen des befallenen Rechners in "Zacker".

Danach allerdings aktualisiert sich der Wurm per Web selbsttätig. Er setzt die Startseite des Internet Explorer auf eine neue URL und lädt beim nächsten Start des Browsers von dieser Webseite das Visual-Basic-Skript "Rol.vbs".

Es enthält die eigentlichen Schadensroutinen. Sie umfassen das Löschen von Antivirus-Programmen und das Überschreiben von zahlreichen Dateitypen mit dem VB-Code des Wurms. Zu den befallenen Dateien zählen Office-Dokumente, MP3-Files und JPEG-Bilder. Wie schon bei anderen aktuellen Viren (siehe tecHistory rechts) wird auch die Chat-Software mIRC manipuliert: Alle .ini-Dateien im mIRC-Verzeichnis werden überschrieben, der Wurm versucht sich anschließend auch per IRC zu verschicken, indem die URL der Webseite mit dem Skript an andere User geschickt wird.

Coolsite, der zweite neue Wurm, ist nicht ganz so bösartig. Er kommt in E-Mails mit dem Betreff: "Hi!!" auf den Rechner. Ein Attachement ist hier aber gar nicht nötig. Vielmehr ist in den Text der Mail bösartiger JavaScript-Code eingebettet, der sich eine schon seit Januar dokumentierte und behobene Sicherheitslücke von Microsofts Java-Implementation zu Nutze macht. Auf frisch installierten PCs mit einem originalen Windows 98 oder 2000 ohne Patches kann Coolsite aber zuschlagen.

Er versendet sich jedoch nur per Outlook und ändert die Startseite des Internet Explorer, die anschließend auf einen Porno-Anbieter verweist. Weitere Schadfunktionen sind nicht bekannt.

Für beide Würmer gilt: Die aktuellen Signaturdateien der großen Antiviren-Hersteller wie Symantec, Norman Data Defense, Trend Micro oder Kaspersky Labs erkennen sie. Gerade in der Weihnachtszeit ist aber noch mehr Vorsicht bei vermeintlichen elektronischen Grußkarten angebracht, vor allem, wenn sie Dateianhänge mitbringen.

Informationen zu Würmern und Viren finden Sie in unserem Artikel Computerviren: Grundlagen. Tipps zum Schutz Ihrer Rechner liefern der Artikel Firewall-Grundlagen und unsere Tests von Virenscannern und Personal Firewalls. (nie)