W32/Anset

Besonders in deutschsprachigen Regionen verbreitete sich der Anset-Wurm gegen Ende Oktober 2001 recht schnell. Die Mail, mit der er sich automatisch verschickt, gibt vor, direkt vom Hersteller des kostenlosen Trojaner-Scanners ANTS zu stammen und in der Beilage eine neue Version des Programms zu enthalten. Hiervon sind gemäss Sophos [1] leicht unterschiedliche Varianten im Umlauf. Eine Beschreibung mit Screenshot finden Sie unter Anderem auch bei Kaspersky [2]:

------------------------

Variante W32/Anset.A

Gefälschter Absender: Andreas Haak [webmaster@avnetwork.de]

Name der Beilage: ants3set.exe

Betreff: ANTS Version 3.0

Mailtext:

Hi,

anhängend findest Du die neue Version 3.0 von ANTS, dem bislang einzigartigen kostenlosen Trojanerscanner. Zum installieren einfach die angehängte Setup-Datei ausführen.

attached you will find the brandnew version 3.0 of ANTS the unique trojan defense system. To install ANTS simply run the attached Setup-File.

Adieu, Andreas

webmaster@avnetwork.de

http://www.ants-online.de

------------------------

Variante W32/Anset.B

Gefälschter Absender: Andreas Haak [webmaster@avnetwork.de]

Name der Beilage: ants3set.exe

Betreff: ANTS Version 3.0

Mailtext:

Hi,

Anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen kostenlosen Trojanerscanner. Zum installieren einfach die angefügte Datei ausführen.

Attached you will find the brand new Version 3.0 of ANTS, the unique freeware trojan scanner. To install ANTS simply run the attached setup file.

Adieu, Andreas

webmaster@avnetwork.de

http://www.ants-online.de

------------------------

Wird der Wurm ausgeführt, kopiert er sich mit einem zufällig generierten Dateinamen (irgendwas.exe) in den Windows-Ordner. Der Wurm fügt den Namen der erstellten Datei diesem Windows Registry-Schlüssel hinzu, damit sie beim nächsten PC-Start automatisch geladen wird:

HKEY_LocalMachine\Software\Microsoft\Windows\CurrentVersion\RunOnce

Anschliessend durchsucht W32/Anset das Outlook Adressbuch und Dateien mit den Endungen CGI, HTM, SHTM, PHP und PL nach E-Mail-Adressen, an die er sich weiterverbreitet.

ACHTUNG - Nicht verwechseln:

Es gibt tatsächlich einen kostenlosen Trojanerscanner namens ANTS. Dessen Programmierer, Andreas Haak von ANTS-Online, äussert sich in seiner Stellungnahme [3] sehr besorgt über diesen Vorfall: Er habe mit dem unter dem gleichen Namen verbreiteten Wurm nichts zu tun und sehe diesen Wurm als Anschlag auf seine Person und auf sein Produkt. Auch wenn in der durch den Virus verbreiteten Mail als Absender der Name "Andreas Haak" mitsamt dessen E-Mail-Adresse drinsteht, stammt die Mail nicht von ihm. Wenn Sie die echte ANTS-Software von der Original-Webseite [4] herunterladen, brauchen Sie nichts zu befürchten. Sollten Sie aber eine solche Mail erhalten, führen Sie die Beilage nicht aus, sondern löschen Sie die Mail.

Antivirus-Hersteller sollten inzwischen ihre Virendefinitionen angepasst haben. Aktualisieren Sie Ihren Virenscanner. Sollte dieser den Anset-Wurm auf Ihrer Festplatte finden, löschen Sie die gefundenen Dateien.