[HaBo]

Wurm deaktiviert Virenscanner und nutzt Sicherheitslücke im Internet Explorer

Seit kurzem verbreitet sich der Wurm W32.Klez.H@mm, eine besonders bösartige Abart des Wurms W32.Klez.E@mm , explosionsartig im Internet. Der Wurm geht besonders perfide zu Werk, denn er deaktiviert zahlreiche Antiviren-Programme und löscht sogar deren Virendateien. Außerdem nutzt er eine Sicherheitslücke im Internet Explorer, so dass ein Anwender die Ausführung des Wurms unter Umständen nicht bemerkt. Zu allem Überfluss versendet sich der Schädling nicht nur an alle Einträge im Outlook-Adressbuch, sondern durchforstet auch zahlreiche lokale Dateien nach E-Mail-Adressen, so dass Experten eine besonders rasante Verbreitung des Wurms erwarten.
Zu allem Überfluss verwendet der Wurm W32.Klez.H@mm ständig wechselnde Betreffzeilen, Absenderadressen und Nachrichtentexte, so dass sich dieser nicht ohne weiteres erkennen lässt. Auch der 94,932 Byte große Datei-Anhang, worin sich der eigentliche Wurm verbirgt, ändert ständig den Namen, so dass der Wurm auch daran nicht zweifelsfrei erkannt werden kann. Der aktive Wurm legt sich entweder lokal auf der Festplatte ab oder kopiert sich auf angeschlossene Netzlaufwerke. Auch hier wird ein wechselnder Dateiname verwendet, der entweder die doppelte Dateiendung txt.exe oder txt.rar trägt. Außerdem infiziert der Wurm ausführbare Programme, indem er die Originaldatei versteckt und die eigentliche Programmdatei mit dem Virencode überschreibt. Nun folgt noch ein passender Eintrag in die Windows-Registry, damit der Wurm bei jedem Neustart des Systems ausgeführt wird.

Damit sich der Wurm schnell und effektiv verbreiten kann, sammelt er E-Mail-Adressen aus dem Outlook-Adressbuch, den ICQ-Kontakten sowie zahlreichen lokalen Dateien. Er durchsucht unter anderem Dateien mit den Endungen .htm, .html, .txt, .pdf, .bak, .rtf, .doc, .asp, .xls sowie .exe nach gültigen E-Mail-Adressen. Anschließend versendet sich der Wurm über seine eigene SMTP-Engine an alle gefundenen E-Mail-Adressen, was für eine besonders schnelle Verbreitung sorgt.

Außerdem besitzt der Wurm einen starken Überlebenswillen: Er deaktiviert eine Reihe von Antiviren-Programmen, die normalerweise im Hintergrund arbeiten und so vor Infektionen schützen sollen. Um auf Nummer Sicher zu gehen, löscht der Wurm zudem die Virensignaturen der Antiviren-Programme, so dass diese machtlos werden. Schließlich bereinigt er noch die Registry, so dass die Virenscanner beim Neustart des Rechners nicht mehr automatisch gestartet werden. Zudem werden einige ältere Würmer wie etwa Nimda oder CodeRed von dem neuen Schädling deaktiviert. Außerdem implantiert W32.Klez.H@mm auch noch den Virus Elkern ins System, der am 13. März und 13. September jeden Jahres alle Dateien auf angeschlossenen Netzlaufwerken löscht.

W32.Klez.H@mm nutzt eine anscheinend bei vielen Anwendern immer noch nicht geschlossene Sicherheitslücke im Internet Explorer 5.0 und 5.5, für die seit über einem Jahr ein passender Patch bereitsteht. Viele E-Mail-Programme, wie etwa Outlook und Outlook Express, nutzen die Rendering Engine des Internet Explorer zur Ansicht von HTML-Mails. Wenn dann der Patch für den Internet Explorer 5.01 oder 5.5 nicht installiert ist, genügt bereits die Vorschau einer infizierten HTML-Mail, damit der Dateianhang unbemerkt vom Anwender automatisch ausgeführt wird, was den eigenen Rechner mit dem Wurm infiziert.

Nach Informationen von F-Secure wurde W32.Klez.H@mm zuerst in Asien gesichtet und beginnt gerade, sich auch in Europa und den USA auszubreiten. Bis auf Windows NT 4.0 können alle aktuellen Windows-Plattformen von dem Wurm befallen werden.

Anti-Tool