„Worm.Explore“-Virus bedroht weltweit Computer

Virenbastlern ist es gelungen, die Vermehrungskraft des Melissa-Virus mit der Zerstörungswucht des CIH-Virus zu kreuzen. Aufgeregte Anrufer in der ZDNet-Redaktion berichten von zerstörten Festplatten und ratlosen Systemadministratoren.

Bislang hat es Computer in Deutschland, den USA, Frankreich und Israel getroffen. Der Virus mit dem Namen „Worm.Explore.Zip“ verbreitet sich, indem er sich selbst an E-Mail-Adressen, die auf der Festplatte gespeichert sind und von denen bereits eine E-Mail empfangen wurde, verschickt. Er benötigt dazu E-Mail-Programme, die auf Messaging Application Programming Interface (MAPI) beruhen wie etwa MS Outlook, Outlook Express, und Microsoft Exchange. Der Virus tarnt sich als Zip-Datei (zipped_files.exe).

Die E-Mail lautet: „Hi (Name des Empfängers)! I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs. Bye“

Wenn man das Attachement öffnet, kann der Computer eine falsche Fehlermeldung anzeigen: Der Virus kopiert sich dann in das Verzeichnis C:\Windows\System unter dem Namen Explorer.exe und verändert die Datei WIN.INI, so daß das Programm jedes Mal ausgeführt wird, wenn Windows startet.

Der Virus durchsucht dann die Laufwerke C: bis Z: nach Dateien mit den Endungen .h, .c, cpp, .asm, .doc, .xls und .ppt und löscht den Inhalt.

Virenspezialist Symantec empfiehlt, die Zeile run=c:\Windows\System\Explore.exe aus der Datei WIN.INI sowie die Datei C:\Windows\System\Explore.exe zu löschen, um den Virus loszuwerden.

Sowohl Symantec (www.symantec.com/avcenter/download.html) als auch Network Associates (www.avertlabs.com/public/datafiles/valerts/vinfo/va10185.asp) haben auf ihren Sites Anti-Virus-Updates zum Download gegen den neuen Virus bereitgestellt.