05.12.2001

SCHNELL

Bildquelle: tc

Wurm "W32.Gone" mit rascher Verbreitung

Der Wurm "W32.Gone" hat sich inzwischen als gefährlicher erwiesen als zunächst angenommen, außerdem hat er sich über Nacht auch in Asien rasant verbreitet.

Der Wurm verbreite sich über Microsoft Outlook und ICQ. Das in der Spieleszene beliebte Chat-Programm mIRC ist ebenfalls betroffen.

Trend Micro hat für "Gone A" Alarmstufe Rot ausgegeben. Anscheinend ist der in Visual Basic geschriebene Wurm auf fruchtbaren Boden gefallen:

"Die schnelle Verbreitung von WORM_GONE.A übertraf alle Virenausbrüche dieses Jahres", sagte Raimund Genes, Geschäftsführer von Trend Micro Deutschland.

Die in Englisch abgefasste Mail mit dem Wurm im Attachement kommt mit dem schlichten Betreff "Hi" und verspricht im Text: "How are you? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!"

McAfee zu "W32.Gone"

Verschicken via Outlook

Im Taskmanager wird dann eine Anwendung "Pentagone" gestartet und ausgeführt. Der Prozess taucht als gone.scr auf. Dabei sucht der Wurm nach Virenschutz-Software, Firewalls sowie anderer Sicherheitssoftware und versucht, diese zusammen mit allen Files im selben Directory zu löschen.

Der Schädling verschickt sich außerdem im Hintergund massenhaft über Outlook.

Abschließend produziert der Wurm zur Tarnung die gefälschte Mitteilung, dass ein DirectX-Problem vorliege. Damit soll wohl verschleiert werden, warum der versprochene Screensaver nicht funktioniert.

Neben der Fähigkeit, sich über Outlook zu verschicken, birgt der Wurm weitere Risiken. Zum einen ist er bei ICQ-Nutzern aufgetaucht, zum anderen auch in mIRC-Programmen. Bei ICQ durchsucht der Wurm nach Erkenntnis von Antivirenspezialist der Kaspersky Labs die Liste der ICQ-Benutzer, die online sind, und versucht sich in regelmäßigen Abständen an diese Benutzer zu verschicken. Um seine Aktivitäten zu verschleiern, scannt er die Namen der ICQ-Dialogboxen. Sind ICQ-Systemmeldungen dabei, die den Benutzer warnen, schließt er diese.

Kapersky

IRC im Visier

Im Chatprogramm IRC versucht der Wurm eine Datei namens Remote.ini zu installieren. Die Datei enthält Code des Wurms, der dann bei jedem Programmstart ausgeführt wird. Der Code erzeugt zufällige Benutzer und kann so den IRC-Kanal lahm legen, teilte Kaspersky Labs mit.

Die namhaften Antivirenhersteller bieten schon Updates der Signaturen für ihre Scanner an oder versprechen diese in Bälde.

Ansonsten empfiehlt Symantec Dateien mit dem Namen W32.Goner.A@mm zu suchen und zu löschen. Der oben genannte Registry-Key ist ebenfalls zu löschen.

Symantec