W32.Updater

W32.Updater ist ein E-Mail-Wurm mit mittlerer Verbreitung. Er ist den verschiedenen Virenlabors schon bekannt, und zwar bezeichnen ihn diese so:

[1] Kaspersky: I-Worm.Updater

[2] Sophos: W32/Updatr-A

[3] Symantec: W32.Updater.gen@mm

[4] McAfee: W32/Updatr@MM

[5] F-Secure: Updater

W32.Updater setzt den Betreff der von ihm verschickten Mails (bausteinartig) aus je einem Teil von vier Baustein-Sätzen zusammen:

Baustein-Satz 1: Have you, You Should, Just, Why Not you, How to, Re:, Fwd:

Baustein-Satz 2: Check, Check out, Watch out, Open, Look at

Baustein-Satz 3: this, my, For this, The

Baustein-Satz 4: Picture, Program, Patch, Nude pic, Report, Documment, Quotation, Transaction, Bank Account, WTC Tragedy, Osama Vs Bush, Account, Private Pic

So könnte ein Betreff zum Beispiel so lauten: "You Should Look at this Osama Vs Bush" oder so: "Fwd : Check my Patch"

Im Mail-Text heisst es: "Hi: This is the file you ask for, Please save it to disk and open this file, it's very important." Die Wurm-Beilage kann einen dieser Namen tragen: Setup.EXE, install.exe, Readme.exe, Files.exe, Picture.exe, Quotation.Doc.exe, Letter.Doc.exe, Picture.jpg.exe

Wenn der Empfänger einer solchen Mail unvorsichtig genug ist und die Beilage öffnet, startet sich der Wurm und versendet eine Mail mit den oben erwähnten Merkmalen an sämtliche Einträge des Outlook Adressbuchs.

Des weiteren kopiert sich der Wurm unter dem Dateinamen UPDATE.EXE in den Windows-Ordner (C:\Windows\) und trägt diese Datei in der Windows Registry ein, damit er bei jedem PC-Start automatisch mitgeladen wird. Der Registry-Schlüssel, in den er sich einträgt, lautet:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Im Windows-Ordner erstellt der Wurm noch eine weitere Kopie von sich, die einen dieser Namen tragen kann: Setup.EXE, install.exe, Readme.exe, Files.exe, Picture.exe, Quotation.Doc.exe, Letter.Doc.exe, Picture.jpg.exe

Schadens-Teil:

Der Wurm erzeugt eine Datei namens UPDATE.VBS im Ordner "C:\Windows\Start Menu\Programs\Startup". Dadurch wird (nur bei Win9x/Me) dieses VisualBasic-Script bei jedem PC-Start ausgeführt. Sein "Job" besteht darin, auf allen lokalen und via Netzwerk verbundenen Laufwerken nach Dateien mit Endung EXE, DOC und TXT zu suchen. Wird das Script fündig, kopiert es sich unter den selben Datei-Namen mit der zusätzlichen Endung VBS in jene Ordner. Stösst es also beispielsweise auf eine Datei namens Beispiel.doc, kreiert das Script im selben Ordner eine Kopie von sich selber mit dem Namen Beispiel.doc.vbs. Die Original-Dateien werden vom Wurm jedoch nicht beschädigt.

Beseitigung:

Suchen Sie via Startmenü/Suchen/Dateien/Ordner auf Ihrer Festplatte die Datei UPDATE.VBS und löschen Sie sie. Entfernen Sie auch die Datei UPDATE.EXE aus dem Windows-Ordner (C:\Windows\). Scannen Sie Ihren PC mit einem frisch aktualisierten Antivirenprogramm und lassen Sie (falls vorhanden) sämtliche weiteren Dateien löschen, die als infiziert gemeldet werden.

Starten Sie über Startmenü/Ausführen und eintippen von REGEDIT den Registry-Editor. Erstellen Sie im Registry-Editor sicherheitshalber zuerst eine Sicherung der Registry (Menü "Registrierung/Registrationsdatei exportieren"). Klicken Sie sich nun (vorsichtig!) zu diesem Schlüssel durch und klicken ihn einmal an, damit Sie in der rechten Fensterhälfte seine Einträge sehen:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

In der rechten Fensterhälfte klicken Sie mit der rechten Maustaste auf den folgenden Eintrag und wählen im Kontextmenü den Punkt "Löschen":

Update c:\windows\update.exe

Am besten verhindern Sie eine Ansteckung, indem Sie keine unverlangten oder unerwarteten Mail-Beilagen öffnen.