MÜNCHEN (COMPUTERWOCHE) - Seit Montag treibt der Internet-Wurm "Lovegate.C" sein Unwesen. Antivirenexperten zufolge verbreitet er sich, indem er selbständig in die Posteingangsordner der Microsoft-Mail-Programme Outlook und Outlook Express eingehende Nachrichten beantwortet. Für Opfer sind infizierte Mails schwer zu erkennen, da sich der Schädling mit unterschiedlichen Betreffzeilen tarnt. Auch die im Attachment enthaltene Schadroutine hat keine einheitliche Bezeichnung. Auf infizierten Rechnern kopiert sich Lovegate.C unter den Namen "WinRpcsrv.exe", "Syshelp.exe", "Winrpc.exe", "WinGate.exe" und "Rpcsrv.exe" in das Windows-Systemverzeichnis. Dort legt er außerdem die Dateien "ily.dll", "Task.dll", "Reg.dll" und "1.dll" an, hinter denen sich ein trojanisches Pferd verbirgt. Es öffnet den Port 10.168, über den sich daraufhin ein Hacker Zugriff auf den Rechner verschaffen kann. Vermutlich der Virenautor selbst wird per E-Mail an die Adressen "54love@fescomail.net" und
"hacker117@163.com" über befallene Systeme informiert.
Von vernetzten Rechnern breitet sich Lovegate.C auch auf andere freigegebene Netzlaufwerke aus, auf denen er folgende Dateien ablegt:
Pics.exe
Images.exe
Joke.exe
Pspgame.exe
News_doc.exe
Hamster.exe
Tamagotxi.exe
Searchurl.exe
Setup.exe
Card.exe
Billgt.exe
Midsong.exe
S3msong.exe
Docs.exe
Humor.exe
Fun.exe
Die Experten raten dringend, in vernetzten Umgebungen auf das Anklicken solcher Dateien zu verzichten, auch wenn der eigene Rechner noch nicht infiziert wurde. Wer Lovegate.C von befallenen Rechnern putzen will, muss nicht nur die oben erwähnten Dateien aus dem Systemverzeichnis löschen, sondern auch folgende Registry-Schlüssel entfernen:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"syshelp" = C:\WINDOWS\SYSTEM\syshelp.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"WinGate initialize" = C:\WINDOWS\SYSTEM\WinGate.exe -remoteshell
HKEY_CLASSES_ROOT\txtfile\shell\open\command (Default) = "winrpc.exe %1"
In der Systemdatei "Win.ini" ist außerdem der Eintrag "run=rpcsrv.exe" im Windows-Abschnitt zu löschen. Betroffen sind ausschließlich Windows-Rechner, unter Linux, Unix und Mac OS bleibt Lovegate.C wirkungslos. (lex)