Klez.H überholt Sircam.A in der Virenstatistik

Erst im April wurde er entdeckt, nun genießt er den zweifelhaften Ruhm, in der Häufigkeitsstatistik den bisherigen Spitzenreiter Sircam abgelöst zu haben: Die Scanner der Antiviren-Experten von Messagelabs zählen täglich bis zu 20.000 Fälle, in denen E-Mails den Wurm Klez.H transportieren. Seit seinem ersten Auftreten am 15. April wurde er insgesamt rund 800.500 Mal registriert. Damit liegt er inzwischen klar vor SirCam.A oder W32/Sircam-A, den Messagelabs bislang 763.500 Mal in den Fängen hatte. Dieser Unhold tauchte erstmals am 17. Juli 2001 auf.

Klez.H, genauer W32/Klez.H@MM, ist eine Variante des bereits im Januar entdeckten Klez-Schädlings. Er verbreitet sich über das Windows-Adressbuch und Outlook-Mail-Clients. Infizierte E-Mails kommen mit wechselndem Betreff und Mail-Text ins Haus, auch der Name des Attachments ist unterschiedlich. Auf ungepatchten Systemen wird der Wurm schon in der HTML-Vorschau von Outlook ausgeführt. Er versucht gezielt, Antivirus-Software auszuhebeln. So löscht Klez Virensignaturen und sogar Programmdateien solcher Software.

SirCam ist eine 130 kB große Delphi-Anwendung, die als E-Mail-Anhang mit unterschiedlichen Namen und doppelter Extension verschickt wird. Der Schädling installiert sich in den Recycled-Ordner des Windows-Laufwerks sowie verschiedene andere Verzeichnisse, auch im Netzwerk. Der SirCam-Wurm verschickt sich selbst und zusätzlich auch noch Dateien, die er auf dem infizierten Rechner findet. Das können sehr persönliche Dokumente sein, denn er sucht bevorzugt im Verzeichnis "Eigene Dateien". (anw)