Web

 

Wurm befällt Kazaa-Netz

21.05.2002

MÜNCHEN (COMPUTERWOCHE) - "W32.Benjamin" heißt der Wurm, der sich seit Donnerstag durch das Peer-to-Peer-Netz (P2P) von Kazaa schlängelt. Den Antiviren-Experten von Symantec zufolge kopiert sich der Schädling unter der Bezeichnung "EXPLORER.SCR" in das Systemverzeichnis von Windows. Außerdem sorgt er durch entsprechende Einträge in die Registrierdatenbank dafür, dass er automatisch beim Hochfahren des Systems gestartet wird. Benjamin verbreitet sich über das Download-Verzeichnis der Tauschbörse, das er für alle Nutzer des Netzes freigibt. Dort tarnt er sich laut Symantec als Spiele- oder Musikdatei mit den folgenden Namen:

chterbahn Designer -full-downloader

Acrobat Capture 3.0 -full-downloader

Age of Empires-Games-full-downloader

American Pie 2 -divx-full-downloader

Baseball 2001-Games-full-downloader

Metallica - Blackened

ac dc - Fight For Your Right

Kazaa-Betreiber Sherman Networks will "die Situation untersuchen und ein Statement vorbereiten". Es seien aber bislang nur wenige Rechner infiziert worden. Bis es Signaturen für die Antivirenprogramme gibt, raten die Experten zur Vorsicht. Manuell lasse sich der Wurm entfernen, indem man folgende Registry-Schlüssel löscht:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "System-Service"="C:\\WINDOWS\\SYSTEM\\EXPLORER.SCR" und

HKEY_LOCAL_MACHINE\Software\Microsoft] "syscod"="0065D7DB20008306B6A1".

Außerdem ist noch die Datei "EXPLORER.SCR" aus dem Systemverzeichnis zu entfernen und das Verzeichnis "Sys32" aus dem Temp-Ordner zu beseitigen. (lex)