W32/Aliz

Der Wurm W32/Aliz wird seit Mai 2001 von den meisten Antivirus-Programmen erkannt, scheint sich aber diesen Herbst (Mitte November 2001) wieder in einer neuen Welle zu verbreiten.

Das Script des Wurms ist nur 4 KB gross und verbreitet sich in einer HTML-Mail ohne erkennbaren Mail-Text. In Mail-Programmen, die für die Anzeige von HTML den Internet Explorer benutzen (z.B. Outlook Express und Outlook), führt sich die Beilage ("whatever.exe") wegen einer Sicherheitslücke automatisch aus, sobald die Mail geöffnet oder in der Vorschau angezeigt wird. Die selbe Lücke wurde auch schon von anderen Würmern (z.B. Nimda) missbraucht. Um das Sicherheitsleck zu stopfen, hat Microsoft schon im Frühjahr 2001 ein Sicherheitsupdate [1] bereitgestellt.

Gemäss der Beschreibung des Kaspersky Lab [2] setzt sich der Betreff der Wurm-Mail aus verschiedenen kleinen Textbausteinen zusammen. Das recht Bemerkenswerte an Aliz ist die Tatsache, dass auf dem System keine Dateien installiert oder verändert werden: Wird die (gemäss Symantec oft unsichtbare [3]) Beilage automatisch oder durch den Benutzer gestartet, versendet sich Aliz an alle Einträge des Windows Adressbuchs (WAB) - und dann ist der Spuk schon wieder vorbei.

Weil der Wurm für den Mailversand einen eigenen SMTP-Prozess verwendet, wird ein Benutzer vielleicht gar nie erfahren, dass sein PC einst automatisch Wurm-Mails verschickt hat. Das einzige, was auf dem System zurückbleibt, ist die E-Mail, in welcher der Wurm eingetroffen ist. Löschen Sie diese, ist auch der Wurm verschwunden.

Auch wenn ein Wurm auf dem PC selbst keine Schäden verursacht, handelt es sich um "malicious code" (böswillige Software), denn es entsteht damit ein nicht zu unterschätzender überflüssiger Mail-Verkehr, der im Extremfall einen Mailserver ins Stocken geraten lässt. Am besten verhindern Sie obiges von vorneherein, indem Sie mindestens den eingangs erwähnten Patch installieren oder noch besser auf das Servicepack 2 (SP2) Ihres Internet Explorers 5.01 [4] bzw. 5.5 [5] upgraden.