MÜNCHEN (COMPUTERWOCHE) - Antivirenexperten warnen vor einem neuen Wurm. "Ganda" verbreitet sich selbständig über Mail-Programme, die auf das Windows-Adressbuch zurückgreifen, zum Beispiel Outlook und Outlook Express. Der Schädling steckt im Attachment infizierter Mails, die unter anderem mit dem Hinweis auf Spionagebilder aus dem Irak-Krieg oder auf Animationen des US-Präsidenten zum Klick auf die Dateianhänge verführen wollen. Die Spezialisten warnen insbesondere vor E-Mails mit folgenden Betreffzeilen:

Screensaver advice.

Spy pics.

GO USA !!!!

G.W Bush animation.

Is USA a UFO?

Is USA always number one?

LINUX.

Nazi propaganda?

Catlover.

Disgusting propaganda.

Der Wurm wurde offenbar in Schweden freigesetzt. So findet sich im Quelltext ein Kommentar, in dem der Autor bekagt, dass er acht Jahre lang vom schwedischen Schulsystem diskriminiert worden sei. Außerdem ist der Schädling auch in Nachrichten mit schwedischsprachigen Betreffzeilen eingebettet:

Olaglig_skärmsläckare?

Rashets eller inte?

Hakkors.

Suspekta semaforer.

Avskyvärd_reklam.

Överviktiga_förnedras.

Go ack ack ack....

Är_USA_ett_UFO?

Korkad president.

Katt, hund, kanin.

Außer sich selbstständig zu verbreiten, infiziert Ganda auch sämtliche ausführbaren Programme und Bildschirmschoner mit den Dateiendungen "EXE" und "SCR". Zudem versucht er, Antivirenprogramme zu deaktiviren, was laut Symantec nur gelingt, wenn die aktuellen Signaturen nicht eingespielt sind. Der Schädling legt drei Kopien im Windows-Verzeichnis an, unter den Bezeichnungen "scandisc.exe", "tmpworm.exe" und einem zufällig aus acht Buchstaben zusammengesetzten Namen. In der Windows-Registrierdatenbank trägt er sich unter dem Schlüssel "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" ein, so dass er beim Booten von Windows automatisch gestartet wird. (lex)