Neue Viren befallen Windows und Linux

Würmer im System

25.05.2001
MÜNCHEN (CW) - Virenschreiber sind kreativer denn je. Neue Visual-Basic-Scripts nach dem Muster des berühmt-berüchtigten "Loveletter" halten die Mail-Server auf Trapp. Und auch Linux-Systeme sind mittlerweile keine wurmfreie Zone mehr.

Ein neuer Wurm der Windows-Welt hört auf den Namen "Mawanella" und verbreitet sich über Microsofts Mail-Programm "Outlook". Wie seine bekannten Vorgänger "Loveletter.vbs" und "AnnaKournikova.jpg.vbs" enthält das Script keinen ernsthaft bösartigen Code. Die Gefahr von Mawanella liegt darin, dass sich der Wurm automatisch selbst an alle Adressen verschickt, die im Adressbuch des Microsoft-Clients gespeichert sind. Der dadurch erzeugte E-Mail-Verkehr kann Mail-Server in die Knie zwingen.

Viele Hersteller von Antivirensoftware stufen Mawanella als gefährlich ein, da er sich sehr schnell verbreitet. Der Wurm verschickt sich als E-Mail-Attachment mit dem Namen "Mawanella.vbs". Die Mail selbst trägt den Betreff "Mawanella" und enthält als Mail-Text "Mawanella is one of the Sri Lanka''s Muslim Village". Wird das Visual-Basic-Script ausgeführt, verschickt sich Mawanella an alle Personen, die im Adressbuch von Outlook eingetragen sind. Auf dem Bildschirm erscheint ferner eine offensichtlich politisch motivierte Meldung.

Das Script funktioniert auch mit anderen E-Mail-Clients, dann allerdings nur "halbautomatisch". Mawanella zeigt seine Meldung auf dem Bildschirm an und bittet den Anwender, die Mail selbst weiterzuschicken.

Ein anderer, zurzeit aktiver Wurm ist besser getarnt als die Scripts der letzten Monate. Der jüngst ins Netz gesetzte Wurm VBS/Hard-A (oder VBS/Hard@mm oder VBS.Hard.A@mm) versteckt sich hinter einer angeblichen Virenwarnung der Firma Symantec, einem Hersteller von Antivirenprogrammen und Sicherheitssoftware. Im Betreff der Mail steht: "Symantec Anti-Virus Warning".

Gut getarntWie die anderen Würmer verbreitet sich auch dieser über die Adressliste von Outlook. Klickt der Anwender auf die angebliche URL www.symantec.com.vbs, startet die Visual-Basic-Script- (VBS-)Datei. Der Wurm verschickt sich selbständig an alle in Outlook eingetragenen Adressen. Ansonsten ist der Schaden, den das Programm anrichtet, gering: Die Startseite des "Internet Explorer" wird geändert, und am 24. November eines jeden Jahres erscheint beim Einschalten des Rechners folgende Zeile auf dem Bildschirm: "Don''t look surprised! It is only a warning about your stupidity. Take care!"

Bislang hat der Wurm kaum Schäden angerichtet. Auch die geografische Ausbreitung hält sich nach Angaben von Symantec in Grenzen. Das Unternehmen, hinter dessen Namen sich der Wurm versteckt, stellt auf seiner Website ein Update für sein Antivirenprogramm zur Verfügung, das den Wurm erkennt und unschädlich macht. Ferner finden Anwender, deren Rechner bereits befallen sind, dort Hinweise, wie sie die Auswirkungen rückgängig machen können.

Offensichtlich haben die Würmer der letzten Monate die Anwender noch nicht hinreichend sensibilisiert. Wie schon die verschiedenen Vorläufer, müssen auch die jüngsten Visual-Basic-Scripts durch einen Doppelklick auf das Mail-Attachment gestartet werden. Die rasche Verbreitung von Mawanella und Co. zeigt, dass viele Anwender noch immer zu sorglos im Umgang mit E-Mail-Anhängen sind.

Auch Linux-Anwender, die sich bis vor wenigen Monaten noch frei von Würmern glaubten, haben Ärger mit den kleinen Programmen. Das Computer Emergency Response Team (Cert) warnt vor einem Linux-Wurm namens "Cheese". Ist ein System von diesem Wurm befallen, führt Cheese einige Shell-Kommandos aus.

Ob Cheese nun gut oder schlecht ist, lässt sich kaum definitiv sagen. Im Prinzip soll Cheese ein sich selbst verbreitender Patch sein, der die Hintertür schließen soll, die ein anderer Wurm namens "1i0n" vor rund drei Monaten geöffnet hat. Trotz des guten Vorsatzes ist Cheese aber ein Eindringling im System.

Detaillierte Informationen über Cheese und wie er entfernt werden kann, stellt Cert im Internet bereit: www.cert.org.