Neuer E-Mail-Wurm [Update]
Ein neuer E-Mail-Wurm in der Machart von ILOVEYOU ist unterwegs.
Ein neuer E-Mail-Wurm in der Machart von ILOVEYOU ist unterwegs: Eine Mail mit unterschiedlichen Subjects wie "Fw: Life Stages", "Fw: Funny text", "Fw: Jokes" und ähnlichem enthält als Attachment eine Shell-Scrap-Datei (Extension .shs) mit einem VB-Script. Wird das Attachment auf Windows-Rechnern aus dem Mail-Client heraus gestartet, verschickt sich der Wurm über das Outlook-Adressbuch. Nach ersten Analysen von Computer Associates enthält der "Scrap File" oder VBS/Stages genannte Wurm allerdings keine Schadroutinen. Dafür geht er beim Versenden der Mails geschickter vor: Zum einen enthalten die Mails unterschiedliche Subjects, zum anderen tauchen die verschickten Mails nicht in Outlooks SENT-Ordner auf.
Außerdem legt VBS/Stages eine Datei "scanreg.vbs" an und nimmt einen Eintrag in der Registry vor, so dass dieses VB-Skript bei jedem Systemstart läuft. Durch Umbenennen des Registry-Editors "regedit.exe" in "recycled.vbx" will er verhindern, dass der Anwender die Änderungen in der Registry rückgängig macht. Der Wurm versucht auch, ein lokales ICQ-Programm zu manipulieren und sich über diesen Weg weiterzuverbreiten. Schließlich ändert er (ebenfalls in der Registry) das Icon für .shs-Dateien, so dass sie auf dem Desktop mit dem Icon für ordinäre Textdateien erscheinen.
.shs-Dateien (ShellScrap-Dateien) entstehen normalerweise, wenn man markierten Text oder sonstigen Inhalt von Office-Programmen auf den Desktop zieht. Neben den Daten selbst enthalten sie Informationen darüber, aus welchem Programm heraus die .shs-Datei angelegt wurde. Bei einem Doppelklick auf eine ShellScrap-Datei startet dann diese Anwendung mit den Daten. Der Windows-Explorer zeigt die Extension ".shs" unabhängig von allen Einstellungen nie an; durch Umbenennen im Explorer ist es nicht möglich, den Typ der Datei zu ändern. In einer DOS-Shell gibt der DIR-Befehl die Extension jedoch korrekt aus. Hier lässt sich eine solche Datei auch umbenennen.
Wenn Sie eine verdächtige Mail erhalten, sollten Sie sie ungelesen löschen. Generell sollte man alle Arten von Attachments mit aktiven Inhalten nicht öffnen. Gefährlich sind neben .shs sowie ausführbaren Dateien und Skripten (.com, .exe, .vbs) auch Office-Dokumente (.doc, .xls etc.) oder Bildschirmschoner (.scr). Da einige Mailprogramme die Extension von Attachments nicht immer anzeigen, ist bei allen in irgendeiner Form verdächtigen E-Mails Misstrauen angezeigt.
Weitere Hinweise zum Schutz vor Viren und E-Mail-Würmern finden Sie auf der Anti-Viren-Seite von c't. Dort finden Sie auch eine Möglichkeit, die Einstellungen Ihres E-Mail-Programms über eine Test-Mail zu überprüfen. (odi)
