W32.Datom

Ein neuer Wurm, der sich in der bisher bekannten Variante "A" nur über Windows-Netzwerkfreigaben verbreitet.

Gemäss der Beschreibung von Sophos [1] besteht der Wurm aus drei Dateien (MSVXD.EXE, MSVXD16.DLL und MSVXD32.DLL), die der Wurm im Windows-Ordner unterbringt. Die MSVXD.EXE ist der ausführbare Teil des Wurms, welcher die beiden DLL-Dateien lädt.

Die Datei MSVXD32.DLL enthält den Programmcode, mit dem sich der Wurm verbreitet. Dieser durchsucht Netzwerk-Freigaben und versucht sich auf die gefundenen PCs zu kopieren. Ist ihm dies gelungen, versucht der Wurm die Datei MSVXD.EXE gleich an zwei Orten im System einzutragen, um sicher zu stellen, dass er beim Windows-Start automatisch geladen wird. Einerseits betrifft dies die Systemdatei WIN.INI und andererseits die Windows Registry, genauer gesagt, diesen Schlüssel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\

"MSVXD"

Das Kaspersky-Labor meldet [2], dass der Wurm unter gewissen Umständen eine Verknüpfung zur erwähnten EXE-Datei in den Autostart-Ordner von "Alle Benutzer" ablegt. Dies tut er, wenn er den geeigneten Bereich in der WIN.INI nicht findet, in den er sich eintragen könnte. Die Verknüpfung nennt der Wurm "VxD Manager.lnk" (die .LNK-Endung ist möglicherweise nicht zu sehen).

Ausserdem versucht der Wurm auch ZoneAlarm (eine Desktop Firewall) zu deaktivieren und Informationen über den infizierten Computer an eine von zwei E-Mail-Adressen zu schicken.

Abgesehen davon und der Verbreitung via Netzwerk-Freigaben verursacht diese Wurm-Variante keine Schäden.

Beseitigung:

Bevor Sie sich ans Beseitigen des Wurms machen, versehen Sie alle Computer in Ihrem Netzwerk mit einem frisch aktualisierten Virenschutz. Nach dem Aktualisieren der installierten Virenscanner trennen Sie alle betroffenen PCs vom Netzwerk (Netzwerk-Kabel ausstecken), bis die Beseitigung abgeschlossen ist, sonst stecken sich die Computer ständig gegenseitig an.

Nun öffnen Sie die Datei WIN.INI, die Sie mit dem Systemkonfigurationseditor bequem bearbeiten können: Gehen Sie zu "Startmenü/Ausführen", tippen Sie SYSEDIT ein und drücken Sie Enter. Nun werden vier Dateien angezeigt, darunter auch die Datei WIN.INI. Holen Sie diese durch einen Klick auf den WIN.INI-Balken in den Vordergrund. Dieser Editor hat eine Such-Funktion. Benutzen Sie diese, tippen Sie ins Such-Feld den Dateinamen msvxd.exe ein und klicken Sie auf OK oder "Nächstes". Wird der Eintrag gefunden, löschen Sie ihn. Seien Sie hierbei vorsichtig und löschen oder verändern Sie nichts Anderes. Speichern und schliessen Sie die WIN.INI und schliessen Sie den Systemkonfigurationseditor.

Starten Sie nun den Registry-Editor, via "Startmenü/Ausführen" und Eintippen von REGEDIT. Lassen Sie hier ebenfalls grösste Vorsicht walten! Navigieren Sie zu diesem Zweig und klicken Sie ihn an:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Darin finden Sie einen Eintrag, der so heisst: "MSVXD"

Klicken Sie diesen mit Rechts an und wählen Sie im Kontextmenü den Befehl "Löschen".

Löschen Sie auch noch die Verknüpfung, die der Wurm angelegt haben könnte: Schauen Sie sich in Ihrem Startmenü den Autostart-Ordner an. Falls dort ein Eintrag namens "VxD manager" erscheint, klicken Sie mit Rechts drauf und wählen Sie "Löschen".

Scannen Sie nun alle vorhandenen Festplatten komplett nach Viren. Löschen Sie sämtliche Dateien, die Ihr Virenscanner als infiziert mit dem Datom-Wurm meldet. Überzeugen Sie sich davon, dass insbesondere die drei Dateien, die der Wurm mitbringt (MSVXD.EXE, MSVXD16.DLL und MSVXD32.DLL) aus dem Windows-Ordner verschwunden sind. Erst jetzt darf der PC zurück ans Netzwerk.