MÜNCHEN (COMPUTERWOCHE) - Würmer mit den Namen der Popdiven Jennifer Lopez, Britney Spears und Shakira gibt es bereits. Jetzt ist auch Avril Lavigne zu Ehren gekommen: Seit Mittwoch schlängelt sich der Wurm via E-Mail, der Messaging-Systeme IRC (Internet Relay Chat) und ICQ sowie Tauschbörsen wie Kazaa durch das Internet und befällt Windows-Rechner in bislang 58 Ländern. Infizierte Mails tragen unter anderem die Betreffzeilen

FW: Prohibited custumers

Re: Brigade Ocho Free membership

Re: According to Daos Summit

Fw: Avril Lavigne - the best

Re: Reply on account for IIS-Security

Fwd: Re: Admission procedure

Re: Reply on account for IFRAME-Security breach

Fwd: Re: Reply on account for Incorrect MIME-header.

Der eigentliche Schädling, auch als "Livra" oder "Naith" bezeichnet, steckt in einer rund 32 Kilobyte großen Datei, die unter anderem "AvrilSmiles.exe" oder "IAmWiThYoU.exe" heißen kann. Er versucht ähnlich wie "Klez" Antivirensoftware und Firewalls auszuhebeln, sagen die Virenexperten von McAfee. Außerdem modifiziert Avril mehrere Schlüssel in der Windows-Registrierdatenbank, schreibt einen Startaufruf in die Stapelverarbeitungsdatei "Autoexec.bat" und kopiert sich in den Papierkorb sowie in das Temp-Verzeichnis. Neben der harmlosen Schadenswirkung, die Website der namensgebenden Pop-Sängerin zu öffnen, spioniert der Wurm Passwörter aus und versendet sie über einen eigenen SMTP-Server. Außerdem verschickt sich Avril an E-Mail-Adressen aus dem Windows-Adressbuch und aus lokal gespeicherten HTML-Seiten.

Ferner nutzt der Wurm die so genannte Mime-Header-Lücke der Internet-Explorer-Versionen 5.01 und 5.5. Die Schadroutine wird automatisch ausgeführt, wenn eine infizierte E-Mail mit Outlook Express auf Rechnern geöffnet wird, auf denen noch nicht der entsprechende Patch eingespielt ist. (lex)