MÜNCHEN (COMPUTERWOCHE) - Der Antivirenhersteller Panda Software warnt vor einem Wurm, der sich hauptsächlich über die Online-Tauschbörsen Kazaa verbreitet und Windows-Rechner befällt. "Kazoa.C" alias "Gool" verspricht Nacktfotos von Prominenten wie Catherine Zeta Jones, Pamela Anderson und Sandra Bullock. Dabei tarnt er sich nach einer simplen, aber oft wirkungsvollen Methode, indem er der eigentlichen Dateiendung "exe" die Endung "jpg" vorausstellt. Ein Dateiname sieht also zum Beispiel wie folgt aus: "SandraBullock.jpg.exe". Ist in Windows unter "Ordneroptionen, Ansicht" die Einstellung "Dateinamenerweiterung bei bekannten Dateitypen ausblenden" gewählt, bleibt dem Anwender verborgen, dass es sich um eine ausführbare Datei handelt.

Nach dem Klick auf ein vermeindliches Bild öffnet der Schädling den Port 31337 und schickt die IP-Adresse des Rechners an eine anonyme Internet-Adresse. Zu vermuten ist, dass sie einem Hacker gehört, der nun auf betroffene Rechner trojanische Pferde einschleusen und somit voll auf die Systeme zugreifen kann.

Außerdem infiziert Gool die Systemdatei "Explorer.exe" und legt Dateien namens "Explorer.vbs" und "RealWayToHack.exe" im Windows-Verzeichnis an. Die Registrierdatenbank des Betriebssystems wird ebenfalls modifiziert, indem folgende Schlüssel eingetragen werden:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run=Registry“%sysdir%\EXPLORER.EXE”

und

HKCU\Software\Microsoft\InternetExplorer\Main"RegisteredOrganization" = http://www.crash.com

(lex)