W32.Lilac (Calil, Liac)

Die Mail, mit welcher der Lilac-Wurm Ihr Postfach erreichen könnte, trägt diese Kennzeichen:

Betreff: "FW:FW: LILAC project video attach"

Mail-Text: "Things that the govt. dont want you to know"

Beilage: LILAC_WHAT_A_WONDERFULNAME.AVI.EXE

Wird die Datei durch den Benutzer ausgeführt, wird eine gefälschte Fehlermeldung angezeigt: "Error54: Media Player not installed correctly".

Anschliessend kopiert sich der Wurm mit dem Original-Dateinamen (LILAC_WHAT_A_WONDERFULNAME.EXE) in den "Temp"-Ordner von Windows und fügt einen Eintrag in die Windows Registry ein, der den Wurm bei jedem PC-Start wieder lädt. Die Weiterverbreitung erfolgt mit den oben erwähnten Eigenschaften an die E-Mail-Adressen des Outlook- und Windows-Adressbuchs.

Gemäss Beschreibung von F-Secure [1] gelingt es dem Wurm aufgrund eines Fehlers nicht immer, eine "funktionierende" Wurm-Beilage mitzuschicken. Deshalb passiere es hie und da, dass Empfänger eine leere EXE-Datei vor sich haben.

Die einzige Schadens-Funktion des Lilac-Wurms: Er ändert die Benutzerinformationen in Windows zu "xEnOcrAtEs" und setzt die Anmelde-Information auf "Owned by: xEnOcrAtEs". Dieser rein kosmetische und nicht schädliche Eintrag tätigt er in diesem Registry-Schlüssel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

"LegalNoticeCaption" = Owned by:

"LegalNoticeText" = Owned by: xEn0crAtEs

Auch zeigt Lilac eine Meldung an: "Your PC is infected with LILAC virus by: xEnOcrAtEs"

Um Lilac von Ihrem System zu verbannen, suchen Sie nach Dateien, die "LILAC_WHAT_A_WONDERFULNAME.avi.exe" heissen und löschen Sie sie. Starten Sie Ihren PC neu. Sollte das Löschen nicht möglich sein, entfernen Sie den Wurm-Eintrag aus der Registry:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"Lilac" = C:\Windows\Temp\LILAC_WHAT_A_WONDERFULNAME.AVI.EXE

Weitere Informationen finden Sie in den Datenbanken der Antivirus-Hersteller, zum Beispiel bei F-Secure oder NAI [2].