Wirbel um neue Variante des Klez-Wurms

Antiviren-Hersteller warnen vor W32/Klez.H@MM -- der ist aber nichts weiter als eine neue Variante des bereits im Januar entdeckten Klez-Schädlings.

Klez.H verbreitet sich, wie seine Vorgänger, über das Windows-Adressbuch und Outlook-Mailclients. Dabei nutzt der Schädling eine längst bekannte Sicherheitslücke im Internet Explorer; auf ungepatchten Systemen wird der Wurm schon in der HTML-Vorschau von Outlook ausgeführt. Infizierte E-Mails kommen mit wechselndem Betreff und Mail-Text ins Haus, auch der Name des Attachments (meist .pif oder .bat) ist unterschiedlich.

Besonderen Wirbel macht die Schadfunktion von Klez: Der Wurm versucht gezielt, Antivirus-Software auszuhebeln. So löscht Klez Virensignaturen und sogar Programmdateien solcher Software. In einem kurzen Test mit einem (nicht aktualisierten) AntiVir bewies der Schädling, dass seine Schadroutine auch funktioniert: Sobald Klez aktiv ist, scheitert der Programmstart von AntiVir (die Programmdatei wurde gelöscht). Dies funktioniert aber natürlich nur, wenn der Virenscanner den Schädling nicht erkennt: Ansonsten würde er ja gar nicht erst zur Ausführung kommen. Und wird der Schädling nicht erkannt, ist das Löschen der Antivirus-Software für W32/Klez.H@MM eher sinnfrei -- zweifellos ist es aber ein zusätzliches Ärgernis für den Anwender.

Dass die neue Variante im Grunde aber nichts Neues ist, zeigte beispielsweise der McAfee-Scanner: Da für den Klez-Schädling bereits im Januar ein generischer Treiber in die Virensignaturen aufgenommen wurde, waren McAfee-Nutzer auch ohne Update vor der neuen Variante geschützt. (pab)