Ein neuer Schädling geht um im WWW und sorgt weltweit für Schlagzeilen. Laut Ikarus Software wurde er Frethem.K Wurm "getauft" und ist der bekannteste Vertreter einer ganzen Reihe von Frethem-Würmern von denen mittlerweile über 12 verschiedene Varianten bekannt geworden sind. Fehler in Outlook und Outlook Express Der Grund für seine massive Verbreitung liegt im geschickten Ausnutzen eines Fehlers im Outlook und Outlook Express von Microsoft. Die alleinige Voransicht reicht dem Frethem Wurm um sich über einen eigenen kleinen SMTP-Server zu verbreiten. Der Wurm befällt dabei ausnahmslos jedes Win32 Betriebssystem von Microsoft auf dem einer der oben genannt Mail-Clients installiert ist. Gefährlich macht den Frethem Wurm das er seinen Code somit durch das alleinige Lesen der Mail ohne Doppelklick auf das Attachment aktivieren kann. Dies gilt vor allem dann, wenn der entsprechende Patch der diese Sicherheitslücke schließen kann, nicht installiert wurde. Das Mail sieht wie folgt aus Subject: RE: Your Password! die "password.txt" Datei enthält dabei die Zeile; Your Mailtext: ATTENTION! You can access very important information by this password DO NOT SAVE password to disk use your mind now press cancel ( )

Attachment: decrypt-password.exe und password.txt

password is W8dqwq8q918213

Ist das Virus einmal "aktiv", durchsucht es den infizierten PC auf alle eMail Adressen die in Adressbüchern und *.DB Dateien gespeichert sind und versendet sich an diese über einen eigene SMTP Server. Da er dabei die jeweiligen Einstellung des infizierten Systems übernimmt, erweckt es den Eindruck einer regulären Nachricht des Infizierten Anwenders.

Wenn das Attachment ausgeführt wird oder das Mail auf einem "ungepachtent" Rechner gelesen wird, kopiert sich diese Variante des Frethem Wurms nach

C:\Windows\All Users\Start Menu\Programs\Startup\Setup.exe

Danach wird noch durch folgende Registry Einträge sicherstellt, dass dasVirus nach jedem Systemstart aufgerufen wird:

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\Task Bar=C:\Windows\Taskbar.exe

Die Default-Einstellungen für seine eigene SMTP-Engine übernimmt das Virus aus dem Registry Eintrag des infizierten Systems.

HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\ Accounts\00000001

Der Frethem.K Wurm über keine expliziete Schadensfunktion ausser befallene Systeme auf Grund der erzeugten eMail-Massen zu verlangsamen oder im schlimmsten Fall lahmzulegen.

Schutz

Antivirenhersteller empfehlen eine keine Attachments mit der Endung EXE zu starten, von denen nicht sicher gestellt ist, welche Aktionen sie tatsächlich auslösen, die aktuellen Outlook-Patches von Microsoft zu installieren und Virenschutzprogamme zu aktualisieren. (red)