Trojanisches Pferd tarnt sich als Ordner

Ein neuer Virus tarnt sich als Windows-Ordner – beim Öffnen zeigt er ein Verzeichnis an, doch im Hintergrund installiert sich ein Trojanisches Pferd.

Der von German-Secure gemeldete Schädling wurde offenbar manuell von Unbekannten an verschiedene GMX-Nutzer verschickt; nach ersten Analysen von Network Associates besitzt "iwantyou" keine wurmartige Verbreitungsroutine. Die Mail trägt die Betreffszeile "Welcome you to" und enthält ein Attachment "iwantyou.exe". Das Programm-Icon des Anhangs ist jedoch das eines Windows-Verzeichnisses – führt man es aus, so legt der Schädling einen Ordner "iwantyou" an und öffnet diesen auch gleich. Zwar befinden sich in diesem Verzeichnis nur 0-Byte-Dateien, doch erweckt das den Eindruck, als sei tatsächlich nur ein Ordner geöffnet und kein Programm gestartet worden.

Ist der Schädling aktiv, überwacht er im Hintergrund Eingaben und Aktionen des Windows-Nutzers und verschickt seine Erkenntnisse an eine chinesische E-Mail-Adresse. Um den Schädling wieder loszuwerden, sollte man die Dateien "angel.exe" und "angel.dll" im Windows/System-Verzeichnis löschen und den Computer neu starten. Network Associates hat bereits eine Erkennungsroutine für "iwantyou.exe" in das heute erscheinende Virensignatur-Update integrieret. (pab)