Trojaner tarnt sich als Microsoft-Patch

Der Antiviren-Softwarehersteller Kaspersky Labs hat vor einem neuen Wurm gewarnt, der sich als ein Update des Sicherheitssystems für Microsoft-Produkte tarnt und sich via E-Mail verbreitet.

Bisher seien zwei Varianten des Wurms "Redesi" entdeckt, die sich nur durch Subject- und Body-Text verschickter E-Mails unterscheiden.

Im ersten Fall laute das Subjekt "FW: Microsoft security update", "FW: Security Update by Microsoft" oder "FW: Terrorist Emergency. Latest virus can wipe disk in minutes" sowie "FW: New computer virus".

"Yay. I caught a fish"
Im Body-Text erscheine wahlweise "Just recieved this in my email" oder "I have contacted Microsoft and they say it's real". Im zweiten Fall könne das Subjekt "Yay. I caught a fish" oder "Scientists have found traces of the HIV virus in cows milk" lauten. Der Body sei ebenfalls leicht zu erkennen durch Texte wie "Heh. I tell ya this is nuts ! You gotta check it out !"

Der Wurm im Detail

Wahlweise hänge der Wurm ausführbare Dateien mit folgenden Namen an die E-Mails: Si.exe, ReDe.exe, Disk.exe, Common.exe, UserConf.exe. Beim Starten der angehängten infizierten Datei dringt der Internet-Wurm in den Computer ein, bekommt den Zugriff auf Microsoft Outlook und versendet seine Kopien mit Hilfe dieses Mail-Programms an alle im Adressbuch verzeichneten Empfänger.

Aktivierung am 11. November

Kaspersky zufolge wird der Wurm am 11. November 2001 aktiv. Dann fügt er in die Datei Autoexec.bat den Befehl ein, die Festplatte zu formatieren, der beim Neustart des Computers automatisch ausgeführt wird. Die destruktive Funktion werde jedoch nur dann aktiv, wenn auf dem infizierten Computer die Kurzform des Datums im Format "dd/mm/yy" oder "mm/dd/yy" eingestellt sei.