Neuer Wurm tarnt sich als Wurmwarnung

Bit Defender warnt vor einem neuen Wurm, der heute erstmals entdeckt wurde und sich auch in deutscher Sprache verbreitet. „Win32.Roca.A@mm“ kommt wahlweise mit der Betreffzeile „Microsoft Alert: Please Read!“ oder „Microsoft Alarm: Bitte Lesen!“. Im Body wird vor einer neuen Mydoom-Variante gewarnt, die sich „schnell im Internet“ verbreite. Das im angehängten ZIP-File enthaltene Sicherheits-Update müsse installiert werden, um sich vor der Gefahr zu schützen.

Natürlich ist im Anhang kein Patch, sondern ein Wurm versteckt. Laut Bit Defender ist wenige Stunden nach dem Ausbruch jede 45. Mail verseucht. Ein Grund könnte darin liegen, dass sich der Wurm in Betreff und E-Mail-Absender als Microsoft-Update tarnt.

Der komplette deutsche Body lautet wie folgt:

Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine VorgSnger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gefShrlichen Trojaner!

Fhrende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.
Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schodling zu schtzen!

Der Anhang hat wahlweise eine „.zip“- oder eine „.exe“-Endung und lautet

• sys-patch
• MS-UD
• MS-Security
• Security
• Patch

Wer ihn durch Doppelklick aktiviert, der lässt einige Änderungen in der Registry zu. Anschließend nistet sich der Wurm im Windows-Systemverzeichnis ein und lädt sich selbst bei jedem neuen Windows-Start. Außerdem werden Dateien mit den Endungen ini, log, mdb, tbb, abd, adb, pl, rtf, doc, xls, txt, wab, eml, php, asp, shtml, dbx, wab, tbb, abd, adb und pl durchsucht, um neue E-Mail-Adressen zu finden. Bit Defender hat inzwischen ein kostenloses Removal-Tool zum Download bereit gestellt.