W32/Perrun: Verwirrung um angeblichen JPEG-Wurm
Diverse Berichte über den neuen Windows-Schädling W32/Perrun, der JPEG-Dateien infiziere, schufen einige -- und unnötige -- Verwirrung unter den Anwendern.
Berichte, die momentan im Internet über den neuen Windows-Schädling W32/Perrun kursieren, betreiben teilweise unnötige Panikmache: Angeblich soll das reine Betrachten einer Mail genügen, damit der Virus aktiv wird und .jpg-Dateien infiziert -- was allerdings in dieser simplen Lesart zumindest nicht zutrifft.
Der Schädling kommt als E-Mail ins Haus und enthält ein klassisches .exe-Attachment. Der Anwender muss bewusst einen Doppelklick auf dieses Programm ausführen, um seinen Rechner mit dem Schädling zu infizieren -- aktualisierte Virenscanner sollten hier jedoch eingreifen und die Ausführung unterbinden. Erst wenn das .exe gestartet und das System damit bereits kompromittiert ist, wirkt sich die Verbreitungsroutine aus: W32/Perrun ändert die Registry so ab, dass künftig alle .jpg-Dateien mit dem Infektor aus der Mail geöffnet werden. Der entsprechend abgeänderte Registry-Eintrag sieht wie folgt aus:
HKEY_CLASSES_ROOT\jpegfile\shell\open\command
"(Default)" = (current directory)\EXTRK.EXE %1
Der Befall von .jpg-Dateien findet also nicht direkt statt, sondern geschieht wie bei den meisten Viren über ein direkt ausführbares Attachment, dass der Benutzer explizit starten muss. Technisch werden auch nicht .jpg-Dateien infiziert, sondern nur eine .exe-Komponente angehängt. Das Betrachten solcher Schädlinge ist ohne Wirkung, solange das System nicht schon von dem Infektor befallen ist -- und ist das der Fall, wurde der Rechner ohnehin schon infiziert und die Kopie des Schädlings hinter .jpg-Dateien spielt keine Rolle mehr. Da pro Lauf auch nur eine .jpg-Datei infiziert wird, ist die Verbreitung sehr begrenzt. Bei dem Schädling handelt es sich nach Angaben des Autors gegenüber Antiviren-Softwareherstellern um einen reinen "Proof-of-Concept"-Virus: Er hat den Schädling offenbar nur an Antivirus-Unternehmen geschickt, in freier Wildbahn befindet sich W32/Perrun derzeit angeblich nicht.
Weitere Informationen zu Viren und Würmen sowie den Schutzmaßnahmen gegen die digitalen Schädlinge finden sich auf den Antiviren-Seiten von c't. (pab)
