Die DEUTSCHEN Trojaner-Seiten
Home
W32/Apost-A Mailwurm gesichtet

Mal wieder wurde ein neuer Mailwurm unter dem Namen W32/Apost-A auch in "freier Wildbahn" gesichtet.

Der Wurm verbreitet sich (wieder mal !) über die Mailsoftware Outlook an alle im Adressebuch enthaltenen Mailadressen.

Eingehende Mails mit dem Wurm im Anhang tragen folgende Merkmale:

Betreff: As per your request!
Mailtext: Please find attached file for your review. I look forward to hear from you again very soon.  Thank you.
Dateianhang: readme.exe

Startet der Anwender nun diese "readme.exe", startet der Wurm einen Kopierversuch auf das Diskettenlaufwerk bzw. wohl auf eine im Laufwerk enthaltene Diskette. Aber auch kopiert der Wurm sich unter gleichem Namen in das Verzeichnis C:\Windows\readme.exe .

Damit der Wurm bei jedem Systemstart ebenfalls ausgeführt wird, legt der Wurm einen Autorun - Eintrag in der Registry wie folgt an:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
macrosoft = C:\windows\readme.exe

Nachdem der Wurm sich selbstständig über Outlook verschickt hat, so erscheint ein Dialogfenster mit dem Namen "Urgent!" und einem einzigen Button "Open". Wird hier draufgeklickt, versucht der Wurm erneut, sich auf das Diskettenlaufwerk (bzw. auf eine im Laufwerk enthaltene Diskette !) zu kopieren. Danach erscheint wieder ein Dialogfenster unter dem Namen und Hinweis: "WinZip SelfExtractor: Warning' und dem Text 'CRC error: 234#21".

Warum sich W32/Apost-A mehrfach versucht sich auf eine Diskette zu kopieren, wird scheinbar den Hintergrund haben, den Wurm auch über Disketten zu verbreiten, die unter Umständen weitergereicht werden.
Öffnet der nächsten Empfänger einer infizierten Diskette die "readme.exe", nimmt das "Spiel" seinen erneuten Lauf. Dazu kommt die Tatsache, dass Windows in seinen Standarteinstellungen bekannte Dateiendungen (also auch ".exe" gar nicht anzeigt). Der Anwender meint, wirlich zuerst eine "readme" Datei lesen zu "müssen".

(tt) 05.09.2001