Erster Wurm des neuen Jahres: „Avril-A“ treibt sein Unwesen

Genau eine Woche nach Neujahr taucht der erste nennenswerte Wurm 2003 auf: Führende Antivirenfirmen warnen vor „W32.Lirva.A@mm“ alias „W32/Avril-A“ oder “ WORM_LIRVA.A“. Laut den Spezialisten von „Antivir“ gehört neben Frankreich und der Schweiz auch Deutschland zu den stark betroffenen Ländern. Bei Symantec wurde der Wurm allerdings nur auf Stufe zwei (Low) gestellt.

Zu erkennen ist der Schädling am Anhang unter dem Namen „IAmWiThYoU.exe“, allerdings bennent sich die Datei selbst um und wurde beispielsweise auch als „Sophos.exe“ gesichtet. Die Datei ist rund 32 KByte groß, betroffen sind die Windows-Systeme 9x, NT, 2000 und XP. Wie seine Vorgänger verbreitet sich Avril.A per Email. Er verwendet sein eigenes Postamt (SMTP-Engine) für den Massenversand. „Daher benötigt er kein Outlook oder ein anderes Email-Programm, um seine Emails zu versenden“, so Antivir.

Die Betreffzeile lautet meist „Re: The real estate plunger“, im Body der Mail ist folgendes zu l esen:

Body:
Avril fans subscription

FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony

Vote for I’m with you!

Admission form attached below

Attachment:
IAmWiThYoU.exe

In einigen Mails will der Wurm auch mit einem Hinweis auf angebliche Microsoft-Sicherheitslücken zum Klick verlocken. Per Doppelklick wird der Anhang in diverse Systemverzeichnisse kopiert. Außerdem nistet sich die „.exe“ Im Ordner ‚Recycled‘ ein und benennt sich dort um. Des weiteren wird ein Run-Eintrag in der Registry erstellt, damit der Wurm beim Neustart seine Tätigkeit aufnehmen kann. Die führenden Antivirenfirmen haben bereits Updates bereit gestellt.

ZDNet offeriert ein Viren-Center mit aktuellen Informationen rund um die Gefahr aus dem Cyberspace, eine umfassende Sammlung aktueller und einen kostenlosem Live-Viren-Check. Der Online Scanner durchforstet ihr System nach diversen Schädlingen.