W32/FBound

Der Mail-Wurm namens FBound hat sich am 14. März 2002 zuerst in Japan sehr stark verbreitet und schwappte anschliessend auch auf Europa über. Der Antivirus-Hersteller TrendMicro [1] mit Hauptsitz in Fernost meldete aufgrund der starken Verbreitung einen "Severe Outbreak".

Der Betreff der Virenmail hängt von der Top-Level-Domain (Landeskennung) der E-Mail Adresse ab, an die sich der Wurm verschickt. Lautet die Kennung .jp (für Japan), wählt FBound eine von rund 16 verschiedenen Betreffzeilen. Mail-Adressen mit allen anderen Kennungen (.ch, .com, .de etc.) erhalten die Wurm-Mail mit dem Betreff "Important". Der Mail-Text ist leer und die Wurm-Beilage heisst "Patch.exe".

Startet ein Benutzer durch Öffnen/Doppelklick die Datei Patch.exe, verbreitet sich der Wurm mit den oben erwähnten Eigenschaften an alle Adressen des z.B. in Outlook Express benutzten Windows Adressbuchs (WAB) und an weitere Adressen, die er in lokal gespeicherten HTM-Dateien findet.

Die Virenlabors (z.B. Sophos [2] und Norman [3]) konnten im Programmcode des Wurms keine zerstörerischen Schadensfunktionen ausmachen. Das hohe Mail-Aufkommen alleine reicht bereits, Systemadministratoren graue Haare wachsen zu lassen. Auch ist der Spuk nach dem lawinenartigen Mailversand schon wieder vorbei. Einhellig melden alle Antivirus-Hersteller, dass der Wurm keine Dateien auf der Festplatte platziert und keine Registry-Einträge ändert oder erstellt. Deshalb ist der Schädling auch leicht wieder zu entfernen. Ein Löschen der Mail und allenfalls manuell gespeicherter Kopien der Beilage reicht.

Wir empfehlen allen Benutzern, keine Mailbeilagen zu öffnen, die sie nicht angefordert oder erwartet haben.