Mittel gegen den "Notepad-Wurm"

Der Grund für wiederkehrende Infektionen mit dem Notepad-Wurm Win32/QAZ sind hauptsächlich ungeschützte Windows-Dateifreigaben.

Seit letzter Woche gingen bei c't vermehrt Hinweise auf ein "verseuchtes" Notepad.exe ein, das Verbindungen ins Internet öffnete. Trotz Nachforschungen in Zusammenarbeit mit AV-Test.de ließ sich die Herkunft der manipulierten Datei nicht zurückverfolgen. Als häufigste Ursache für die wiederkehrenden Infektionen mit dem Win32/QAZ-Wurm stellten sich jedoch Windows-Dateifreigaben ohne Passwort-Schutz heraus. Wer aus Unwissenheit oder Bequemlichkeit Windows-Verzeichnisse oder die gesamte Festplatte freigibt, ohne diese mit Passwort zu schützen, öffnet damit dem Notepad-Wurm Tür und Tor. Einerseits verbreitet er sich auf diese Weise über die freigegebenen Verzeichnisse, andererseits kann ein Angreifer die infizierte Datei ohne Wissen des Opfers auf den Rechner kopieren.

Bei Rechnern, die von dem Wurm befallen sind, sollte man die Datei-Freigaben prüfen und mit Passwort schützen. Außerdem sollte man eventuelle Bindungen der Dateifreigabe an TCP/IP deaktivieren, um einen Übergriff aus dem Internet zu vermeiden (für die lokale Datei- und Druckerfreigabe reicht NetBEUI). (vza)