Aggressiver Wurm W32/Mimail kursiert [Update]

Seit gestern ist ein neuer Wurm unterwegs, der per E-Mail Windows-Rechner weltweit infiziert. Mehrere Anti-Viren-Hersteller haben bereits Warnungen ausgesprochen und die zu ihren Scannerprogrammen passenden Virendefinitionen aktualisiert; in der Statistik des Sicherheits-Dienstleisters MessageLabs hat W32/Mimail sogar auf Anhieb den ersten Platz der zehn derzeit aktivsten Schädlinge eingenommen. Das zeigt, dass sich der Wurm besonders aggressiv verbreitet.

Laut einer Beschreibung des Anti-Viren-Herstellers Network Associates informiert ein vermeintlicher "Administrator" per E-Mail darüber, dass die E-Mail-Adresse des Empfängers demnächst abzulaufen drohe. In einem Attachment namens message.zip bringt die Nachricht eine Datei message.htm mit, die beim Öffnen eine Sicherheitslücke des Internet Explorers und von Outlook Express ausnutzt, um ein Programm namens foo.exe anzulegen und zu starten. Dieses wiederum speichert im Windows-Verzeichnis drei Dateien mit unverfänglichen Namen: videodrv.exe, exe.tmp und zip.tmp. Wer diese Dateien bei sich findet, kann von einer Infizierung seines Rechners ausgehen. Ein Registry-Schlüssel sorgt dafür, dass der Wurm bei jedem Windows-Start automatisch geladen wird und sich an alle auf dem Rechner zu findenden E-Mail-Adressen weiter verbreitet.

Wer noch keinen Virenscanner besitzt, kann nach Angaben von Network Associates auch deren Stand-alone-Programm Stinger Tool verwenden, um den Wurm zu löschen. Die IE- und OE-Sicherheitslücken lassen sich mit den Patches MS02-015 und MS03-014 von Microsoft stopfen.

Weitere Informationen liefert die aktuelle Warnung des BSI. (se)