Neuer Wurm "beantwortet" E-Mails

Ein neuer E-Mail-Wurm namens "Navidad" verbreitet sich seit heute auch in Deutschland. Der Schädling liegt als ausführbares Attachment E-Mails bei.

In Pocket speichern vorlesen Druckansicht 90 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Patrick Brauch

Ein neuer E-Mail-Wurm namens "Navidad" verbreitet sich seit dem heutigen Montag auch in Deutschland. Der seit Anfang November in einschlägigen Antivirus-Datenbanken geführte Schädling liegt als ausführbares Attachment (*.exe) E-Mails bei.

Einige Besonderheiten unterscheiden "Navidad" von ähnlichen selbstausführenden Schadprogrammen. Zum einen ist die Verbreitungsroutine ungewöhnlich: Statt sich über das Outlook-Adressbuch zu verschicken, fängt er eingehende E-Mails ab und schickt sich selbst als Antwort an die Absender zurück. Der Schädling bemüht sich allerdings nicht besonders, sich selbst zu verstecken, ganz im Gegenteil: Es erscheint ein Symbol in der Windows-Traybar. Klickt man auf das Auge-Symbol, kann man das Navidad-Programm sogar deaktivieren.

Dafür ist das Entfernen des Wurms nicht ohne Tricks möglich: Der Schädling hängt sich so in die Windows-Registry ein, dass Windows keine exe-Dateien mehr ausführt – somit kann weder ein Virenscanner noch Regedit.exe aufgerufen werden, um den Schädling zu entfernen beziehungsweise die Änderungen in der Registry rückgängig zu machen. Als Workaround kann man Regedit.exe in Regedit.com umbenennen – com-Dateien startet Windows auch nach einer Navidad-Infektion anstandslos. Eine Schritt-für-Schritt-Anleitung zum Entfernen des Mail-Wurms ist beispielsweise bei Network Associates zu finden. Allgemeine Hinweise und Hilfen gegen Viren und E-Mail-Würmern finden sich auf der Antiviren-Seite von c't. (pab)