Wurm-Remix mit altem Trick
Antiviren-Spezialist Sophos warnt vor einem neuen Wurm namens "W32/Klez". Der Schädling nutzt eine seit März bekannte Schwachstelle in Microsoft-Programmen und scheint damit Erfolg zu haben.
Alias-Namen für "W/32Klez" sind "Klaz" und "W32/Klez@MM". Der Wurm kommt per HTML-Mail und trägt als Mail-Anhang eine komprimierte Kopie des "W98/Elkern"-Virus. Alternativ könne sich ein Internet-Benutzer auch durch den Besuch einer präparierten Website infizieren.
Klez trägt sich ins Windows-Verzeichnis und in die Registry ein. Außerdem verschickt er sich per Mail an die Einträge im Windows-Adressbuch und kann dadurch eine Mail-Lawine verursachen.
Die Betreffzeile der E-Mail lautet wie folgt: "Hi", "Hello", "How are you?", "Can you help me?", "We want peace", "Where will you go?", "Congratulations!!!", "Don't cry", "Look at the pretty", "Some advice on your shortcoming", "Free XXX Pictures", "A free hot porn site", "Why don't you reply to me?", "How about have dinner with me together?", "Never kiss a stranger". Der Name der angehängten Datei mit dem Virus wird ebenso zufällig erzeugt wie die Absenderangabe, die meist von yahoo.com, hotmail.com oder sina.com stammt.
W32/KlezSorry
Die Mail wird als HTML-Text verschickt und enthält folgenden Inhalt:
"I'm sorry to do so, but it's helpless to say sorry. I want a good job, I must support my parents. Now you have seen my technical capabilities. How much my year-salary now? No more than $5,500. What do you think of this fact? Don't call my names, I have no hostility. Can you help me?"
Der Wurm nutzt für seine Verbreitung eine schon lange bekannte MIME-Schwachstelle in einigen Versionen von Microsoft Outlook, Outlook Express und im Internet Explorer 5.01 und 5.5 aus.