Neuer E-Mail-Wurm kommt als Passwort-Knacker


Mehrere Hersteller von Antiviren-Software warnen vor einem neuen E-Mail-Wurm namens Frethem, der sich rasant verbreitet. Man erkennt die derzeit aktiven Varianten sehr leicht an dem Betreff "Re: Your password!", dies kann sich jedoch zukünftig ändern. Die Wurm-Mail enthält zwei Attachments: die ungefährliche Datei password.txt und das Programm decrypt-password.exe, das den eigentlichen Schädling enthält.

Auf Windows-Systemen mit Internet Explorer 5.01 und 5.5 nutzt der Wurm zwei bekannte Sicherheitslücken in der Behandlung von IFRAMES und MIME-Attachements aus, um zur Ausführung zu gelangen. Wer Microsofts Sicherheitsupdate von vergangenen Jahr nicht installiert hat, kann sich deshalb schon infizieren, wenn er die Mail in der Outlook-(Express-)Vorschau anzeigen lässt. Wer das angehängte Programm ausführt respektive öffnet, fängt sich den Schädling auch ohne Mithilfe von Internet Explorer oder Outlook ein.

Der Wurm hat nach derzeitigen Erkenntnissen keine eigentliche Schadroutine, versendet sich aber massenweise an Adressen, die er aus dem Adressbuch und diversen Dateien extrahiert. Des weiteren verankert er sich in der Windows-Registry unter

im Schlüssel "Task Bar" als taskbar.exe. Detaillierte Anleitungen, wie man den Virus sicher entfernen kann, finden sich bei den Herstellern von Antiviren-Software, die zum Grossteil auch bereits aktualisierte Signaturen für ihre Viren-Scanner bereitstellen. Die Antiviren-Seiten von c't liefern entsprechende Links, über die auch kostenlose Antiviren-Programme zu bekommen sind.