Web

 

"W32.Mimail" macht das Netz unsicher

04.08.2003

MÜNCHEN (COMPUTERWOCHE) - Viren-Experten warnen vor dem Internet-Wurm "W32.Mimail", der am Freitag erstmals entdeckt wurde. Er ist ausschließlich auf Windows-Rechnern (Versionen 95, 98, ME, NT, 2000, XP) lauffähig und breitet sich über einen eigenen SMTP-Server aus. Dazu durchsucht er auf der Festplatte gespeicherte Dateien nach E-Mail-Adressen und speichert diese im Windows-Verzeichnis unter der Bezeichnung "eml.tmp".

Die Absenderadresse "admin@firma" (Firma steht für die Domain ihres Unternehmens) soll suggerieren, dass Mimail-Mails vom Netzadministrator stammen. Die Betreffzeile lautet "your account %s". Die mitgeteilte Nachricht soll den Eindruck eine offiziellen Botschaft untermauern:

Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.

Best regards, Administrator

Infizierte Mails bringen ein Zip-Archiv namens "Message" im Attachment mit, das aus dem File "Message.htm" besteht. Es enthält eine Schadroutine, die die Datei "Foo.exe" in den Internet-Explorer-Cache lädt und ausführt. Sie kopiert den Wurm unter der Bezeichnung "Videodrv.exe" in das Windows-Verzeichnis und legt einen Verweis darauf in der Registrierdatenbank unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" an. Das hat zur Folge, dass der Wurm automatisch beim Windows-Start aktiv wird. Weitere Indizien für eine Infektion des Rechners sind die Dateien "Zip.tmp" und "Exe.tmp" im Windows-Verzeichnis sowie der Registry-Eintrag "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-111111111111}"

Mimail nutzt eine Sicherheitslücke von Outlook Express aus, die mit einem Sammel-Patch geschlossen wird, den Microsoft im April dieses Jahres veröffentlicht hat. Der Hersteller spielte die Gefährlichkeit des Wurms nach Angaben des US-News-Dienstes "Wired" herunter. Demnach sei der Selbstverbreitungsmechanismus die einzige Schadenswirkung. Laut Viren-Experten täuscht sich Microsoft jedoch. Denn Mimail bringt ein Modul mit, das Bildschirminhalte protokolliert und an vordefinierte E-Mail-Adressen verschickt. So könnte der Autor des Wurms an sensible Informationen gelangen.

Das Antiviren-Labor von Symantec hat ein Tool entwickelt, mit dem sich Mimail von befallenen Systemen entfernen lassen soll. Es steht zum kostenlosen Download bereit. (lex)