W32.Swen.A@mm

Virus-Warnung  -  Virus-Beschreibung

Beschreibung:

W32.Swen.A@mm ist ein Massenmail-Wurm, der sich mit seiner eigenen SMTP-Maschine versendet. Er sucht in Dateien mit der Endung .html, .asp, .eml, .dbx, .wab und .mbx nach E-Mail-Adressen.
Eine Verbreitung findet auch über das lokale Netzwerk, IRC und Kazaa statt.

Bei der Verbreitung über E-Mail nutzt er eine Sicherheitslücke in Microsoft Outlook und Outlook Express. Mit dieser Sicherheitslücke wird der Wurm sofort aktiviert, wenn die E-Mail gelesen wird, oder wenn die AutoVorschau aktiviert ist. Informationen zu dieser Sicherheitslücke finden Sie unter:

• http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Das Aussehen der infizierte E-Mail ist sehr unterschiedlich. Von:, Betreff: und Nachrichtentext variieren stark.

Infektion:
Wird der infizierte Anhang ausgeführt, so kopiert sich der Wurm in das Windows-Verzeichnis. Der Dateiname wird dabei frei gewählt. Zum automatischen Start wird die Registry verändert:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"<random_characters>" = "<random_characters>.exe /autorun"
 

<random_characters> ist der Name der kopierten Datei.

W32.Swen.A@mm generiert u.a. die Dateien Germs0.dbv und Swen1.dat im Windows-Verzeichnis.

Mit weiteren Registry-Einträgen sorgt der Wurm dafür, dass er aktiviert wird, wenn der Benutzer Dateien mit der Endung .exe, .reg, .scr, .com, .bat und .pif verwendet.

Im inifzierten System kann der Benutzer das Programm Regedit nicht mehr verwenden.

Auf infizierte Systeme werden regelmäßig gefälschte Meldungen einer MAPI32 Exception angezeigt.

E-Mail-Verbreitung:
Das Aussehen der infizierte E-Mail ist sehr unterschiedlich. Von:, Betreff: und Nachrichtentext variieren stark.

Eine Nachricht gibt sich als Security-Benachrichtigung von Microsoft aus. Die angehängte Datei ist infiziert.

Quelle:
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn