Gefährlich: E-Mail-Wurm enthält Code für Denial of Service-Angriff

Kurz vor Jahresende treibt ein Virus im Internet sein Unwesen, der anfangs als geringe Bedrohung angesehen wurde. Der vom McAfee Avert-Center gemeldete E-Mail Wurm „W32/Yaha.k“ ist bereits seit dem 21. Dezember bekannt. Aufgrund steigender Präsenz hat McAfee jetzt jedoch den Wurm als „mittlere“ Bedrohung eingestuft.

Die 34,304 Bytes große Datei bahnt sich als E-Mail-Attachment seinen Weg auf den Rechner des Opfers. Dabei schwirrt die E-Mail mit 46 unterschiedlichen Betreffzeilen und 52 Variationen beim Anhang durchs Web. Die Antivirus-Firma hat sämtliche Variationen auf seiner Site aufgelistet. Wird das Attachment einmal von dem Anwender versucht zu öffnen, deaktiviert der Wurm sämtliche Antiviren- und Sicherheitssoftware auf dem PC und installiert einen Code, der für einen Denial of Service-Angriff (DoS) gegen einen noch unbekannten Rechner. Das Angriffsziel hat der Virus-Autor laut McAfee in dem Viruskern selbst hoch verschlüsselt.

Beim Anklicken kopiert sich der Virus mehrfach selbst in das Windows System-Verzeichnis unter den Bezeichnungen:

• NAV32_LOADER.EXE
• TCPSVS32.EXE
• WINSERVICES.EXE

Um einen automatischen Start beim Hochfahren des Systems zu erreichen fügt der Virus zudem folgende Zeilien in die Registry ein:

• HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
  „WinServices“= C:WINDOWSSYSTEMWinServices.exe
• HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
  „WinServices“ = C:WINDOWSSYSTEMWinServices.exe

In dem Virus befindet sich zudem eine SMTP-Engine eingebettet, so dass sich der Virus an alle Kontakte im Adressbuch des Mail-Programms automatisch versendet.

ZDNet bietet gegen den Virus das Antivirus-Tool McAfee Avert Stinger zum Download an.

Informationen zu aktuellen Schädlingen bietet ZDNet im Viren-Center, eine umfassende Sammlung aktueller Antiviren-Software und ein kostenloser Live-Viren-Check stehen hier außerdem bereit.