Kaspersky: Wurm tarnt sich als Sicherheits-Patch

Antiviren-Spezialist Kaspersky berichtet von einem neuen Virus, der versucht, am 11. November das Laufwerk C des infizierten Rechners zu formatieren. Der „Redesi“ genannte Wurm versendet sich an alle im Outlook-Adressbuch des Opfers gefundenen Kontakte.

Laut Kaspersky gibt es zwei Varianten des Wurms: Die eine Version tarnt sich als Sicherheits-Patch der Firma Microsoft (Börse Frankfurt: MSF). In der Betreffzeile heißt es laut Kaspersky: „FW: Microsoft security update“ in Variationen. Die englischsprachige Mail gibt vor, urpsrünglich vom Helpdesk des Konzerns zu kommen. Weiter heißt es: „Hab gerade diese E-Mail erhalten, Microsoft kontaktiert und sie sagen, das stimmt!“ Dann kommt ein gefälschter Microsoft-Header und die englische Botschaft: „Aufgrund der aktuellen Flut von E-Mail-Viren hat Microsoft einen Sicherheits-Patch veröffentlicht. Bitte installieren Sie die beiliegende Datei auf ihrem Windows Computer, um die weitere Verbreitung dieser bösartigen Programme zu stoppen. Beste Grüße Microsoft Support.“

Die zweite Variante des Wurms hat mehr allgemeinere Texte wie „Wissenschaftler haben Spuren von HIV-Viren in Kuhmilch gefunden….hier ist der Beweis–Will“. Die Dateianhänge heißen entweder Si.exe, Rede.exe, Disk.exe, Common.exe oder Userconf.exe.

Laut Denis Zenkin von Kaspersky Labs versucht der Wurm nur bei älteren Windows-Versionen das Laufwerk C zu formatieren. Windows 2000 und Windows XP greifen nicht mehr auf die autoexec.bat zurück, welche der Virus ändert. Zudem orientiert sich Redesi an einem Zeitformat 11/11/01. Wird das Jahr aber vierstellig angezeigt, entfällt diese Angriffsmöglichkeit. Laut Kaspersky ist der Wurm bisher aber noch nicht „in the wild“ aufgetreten.