Neuer Wurm auf seinem Weg durch das Netz

Helmut Eder
10 Kommentare

Der bisher lästigste Virus, der Wurm Klez.H, hat durch einen neuen Wurm, genannt Yaha.E, einen Konkurrenten bekommen, der noch raffinierter bei der Infizierung von Computer-Systemen und seiner Tarnung vorgeht.

Derzeit informieren die Hersteller von Sicherheitssoftware die Internet-Community über diesen besonders gewieften Virus, der sich gerade am Anfang seiner Verbreitung im Internet befindet. Auch er verbreitet sich als E-Mail Anhang. Jedoch ist er in der Lage die verschiedensten Betreffzeilen zu generieren, wodurch sich die Identifizierung erschwert. Da sich der Wurm als Dienst in Windows integriert, kann er auch nicht im Taskmanager identifiziert werden. Einmal aktiviert, kopiert er sich mit einem Dateinamen, den er selbst zufällig wählt, in den Papierkorb-Ordner auf C:. Dabei tarnt er sich dann als Bildschirmschoner und sucht auf dem befallenen System nach Virenscannern, die er dann einfach deaktiviert. Dadurch, das er sein eigenes Protokoll zum Versenden von E-Mails mitbringt, ist er somit unabhängig von installierten E-Mailprogrammen. Aber das ist noch lange nicht alles. So manipuliert der Yaha.E auch noch die Registry. Dort trägt er sich so ein, das jedes Mal wenn eine ausführbare Datei mit der Endung .exe gestartet wird, er selbst zuvor gestartet wird. Ein Löschen dieses Eintrags hat jedoch keinen Erfolg, denn der Virus überprüft bei jedem Start, ob die Registry noch den bewussten Eintrag enthält und erneuert diesen bei Bedarf.

Verbreiten kann er sich durch eine Sicherheitslücke im Internet Explorer 5,0 und 5,5. In dessen Render-Engine, die viele E-Mail Programme zum Darstellen von HTML-E-Mails benutzen, ist ein Bug, den der Virus ausnutzt. Obwohl ein Patch für diese Sicherheitslücke bereits verfügbar ist, haben ihn offenbar nicht viele Anwender installiert. Um sich weiter zu verbreiten, durchsucht der Wurm nebenbei noch alle relevanten Dateien auf dem infizierten System nach E-Mail Adressen und versendet sich automatisch an diese Personen, ohne das der Anwender davon etwas mitbekommt. Zu guter Letzt noch eine gute Nachricht. Bereits alle großen Hersteller von Virenscannern haben ihre Viren-Signaturen angepasst, so dass bei entsprechend geschützten Systemen die Gefahr der Verbreitung gering ist.

Der Patch ist hier zu finden.