Hilfe gegen Computer-Wurm
Der "Wurm"-Virus ist eine Gefahr fuer Computer, der sich schnell im Internet verbreitet. Jetzt gibt es verschiedene Moeglichkeiten, sich vor dem Schaedling namens "W32/ExploreZip.worm" zu schuetzen. So steht etwa auf der Webseite des Sicherheitsexperten McAfee ein Online-Scan fuer Computersysteme zur Verfuegung. Der Wurm ist ein 32bit Programm, das sich durch das Verschicken von E-Mails verbreitet. Das unerwuenschte Getier infiziert Systeme und loescht Daten. Anwender sollten vorsichtig sein, wenn eine Mail mit dem Anhang "zipped_files.exe" eintrifft. Dabei handelt es sich laut Network Associates, einem Hersteller fuer Antiviren-Software, scheinbar um eine selbstentpackende Datei. Im Text der E-Mail erscheine der Satz: "I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs."
Die angefuegte Datei "zipped_files.exe" ist zur Tarnung mit einem WinZip-Icon versehen. Versucht der Empfaenger, die Datei zu entpacken, soll er eine gefaelschte Fehlermeldung erhalten: "Cannot open file: It does not appear to be a valid archive. If this file is part of a zip fomat backup set, insert the last disk of the backup set and try again. Please press F1 for help".
Gleichzeitig werde die Schadensfunktion Ab sofort stellt Network Associates fuer die Software Total Virus Defens Suite unter www.nai.com eine aktuelle Version bereit, die den Wurm sicher erkennen und beseitigen soll. Alternativ laesst sich der Schaedling nach Ansicht der Experten von Hand entfernen. Der Anwender startet dazu das Betriebssystem Windows 95 im DOS-Modus und editiert die Datei win.ini. Dann muessen die Zeile "run=c:\windows\system\explore.exe" sowie das Programm "explore.exe" geloescht werden. Der anschliessende Neustart von Windows macht dem Wirken des Wurms ein Ende. Unter Windows NT richtet der Wurm einen Prozess namens "explore" ein, der mit Hilfe des Taskmanagers zu erkennen ist. Zur Entfernung startet der Anwender die Software "RegEdit", die mit Windows NT geliefert wird und sucht in der Registry-Datenbank den Eintrag "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows und entfernt die Zeile "run"=C:\\WINNT\System32\\Explore.exe".
Nach einem Neustart von Windows NT soll sich die Datei Explore.exe auch in obigem Verzeichnis loeschen lassen. Das Programm W32/ExplorerZip.exe schaltet sich bei E-Mail-Applikationen in den Postweg ein, zum Beispiel bei Microsofts Outlook Express, Exchange oder NetscapeMail. Dort faengt es ankommende Nachrichten ab.
Das Programm erzeugt eine Antwort, an die es die Datei "zipped_files.exe" anhaengt. Bei Aufruf dieses Anhangs beim Empfaenger der Antwort speichert der Wurm die Daten "Explorer.exe" in das Verzeichnis "windows/system/".
Anschliessend modifiziert er unter Windows 95 die Datei "win.ini". Unter Windows NT erzeugt der Wurm einen neuen Eintrag in der Registry-Datenbank. Bei Ausfuehrung durchsucht das Programm alle lokalen oder im Netzwerk gelisteten Festplatten auf Dateien mit den Endungen .doc, .xls, .ppt, .c, .cpp, .h und .asm und loescht deren Inhalt.
* Explore.zip sorgt fuer Kopfzerbrechen
--> http://www.McAfee.com/
aus:Claus Baumann --- Ein Service der Zeitschrift com! online
Woechentlich informiert Sie der Newsflash kostenlos ueber
Neuigkeiten aus dem Internet.Hinweis fuer T-Online Nutzer: http://www.suchen.de/hilfe.phtml#tonline
Newsflash aendern/abbestellen: http://www.suchen.de/aendern.phtmlRedaktion: Claus Baumann mailto:Claus.Baumann@com-online.de
Verlage: Neue Mediengesellschaft Ulm GmbH und WebMedia GmbH
Produktmanager: Stephan Roedel mailto:stephan.roedel@nmg.de