Wurm: Microsoft warnt vor gefälschten E-Mails

Microsoft warnt vor einem Mail-Wurm, der schon seit dem 9. Juli unterwegs sein soll. Das Attachement kommt mit einer Mail, die sich als Security Bulletin von Microsoft ausgibt. Statt über Sicherheitslücken aufzuklären, öffnet das Programm jedoch mehrere weitere.

Unter dem Betreff Microsoft Security Bulletin MS01-037 wurde der Wurm laut Microsoft von einem Unbekannten verschickt. Mails mit dieser Subject-Zeile sollten ungelesen gelöscht werden.

Als Attachement enthält die Mail eine Variante des seit Ende Juni bekannten Wurms W32.Leave.Worm, wie ihn die Viren-Forscher von Symantec nennen. Eine Dokumentation des neuen Schädlings findet sich bei Symantec hier.

Demnach installiert der Wurm zunächst die vermeintliche Systemdatei regsv.exe, die sich aber bei einem nicht infizierten System gar nicht findet. Danach nistet er sich im Rechner ein, und lädt weitere Bestandteile von einer durch die Viren-Forscher nicht genauer angegebenen Webseite herunter.

Ist der Wurm komplett installiert, nimmt er bei Rechnern mit Internet-Zugang bei aktiver TCP/IP-Verbindung Befehle über den Port 113 entgegen. Nach nicht bestätigten Berichten soll er auch über die Chat-Programme IRC und ICQ Code ausführen können.

Symantec schätzt sowohl die Verbreitung selbst als auch die Geschwindigkeit der Verbreitung als gering ein. Dennoch sollten sorgsame Administratoren die Signatur-Dateien der Virenscanner aktualisieren, die seit dem 9. Juli bei allen grossen Anti-Viren-Herstellern den neuen Wurm erkennen.

Hintergrundinformationen zu Würmern und Viren finden Sie in unserem Artikel Computerviren: Grundlagen. Tipps zum Schutz Ihrer Rechner liefern der Artikel Firewall-Grundlagen sowie unsere Tests zu Virenscannern und Personal Firewalls. (nie)