W32/APost (Readme.exe)

Wie die britischen Virenjäger von Sophos berichten [1], trifft dieser Wurm in einer Mail ein, die so aussieht:

Betreff: As per your request!

Mailtext:

"Please find attached file for your review.

I look forward to hear from you again very soon. Thank you."

Wer die Beilage namens README.EXE ausführt, muss damit rechnen, dass der Wurm den folgenden Eintrag in der Windows Registry erstellt:

HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Run\macrosoft=C:\WINDOWS\readme.exe

Weiter legt der Wurm eine Kopie von sich im Windows-Ordner um im Wurzelverzeichnis von allen vorhandenen Laufwerken ab, inklusive dem Diskettenlaufwerk, falls eine Diskette drin steckt.

Der Wurm versendet sich dann an alle Adressen im Outlook Adressbuch und zeigt eine Dialogbox mit dem Titel "Urgent!" und einer grossen Schaltfläche mit der Aufschrift "Open" an. Klickt der User des infizierten PCs auf diesen Button, verschickt sich der Wurm erneut und zeigt am Ende die Fehlermeldung "CRC error: 234#21" an. Screenshots der zwei Dialogboxen finden Sie z.B. in der McAfee-Virenbeschreibung [2].

Um den Wurm zu entfernen, beseitigen Sie den oben genannten Registry-Eintrag und löschen Sie alle vom Wurm erstellten Exemplare von README.EXE.

Der Schädling wird übrigens nicht bei jedem Antivirus-Hersteller gleich bezeichnet. Bei McAfee und Sophos heisst er W32/APost, bei Symantec hiess er ursprünglich W32.Urgent.Worm (inzwischen hat Symantec den Namen angepasst). In der oben erwähnten Beschreibung von McAfee finden Sie zu unterst noch weitere Bezeichnungen anderer Hersteller.