Um prinzipiell mehr über Viren zu erfahren, lesen Sie unsere kompakte Definition (neue Seite) und den ausführlichen Insider-Artikel Nr. 1 (neue Seite)!

Hier informieren wir Sie so aktuell als möglich über jene Viren, die zur Zeit in Umlauf sind und sich stark ausbreiten, um Ihnen zu helfen, sich vor einer Ansteckung zu schützen!

Wenn Sie unseren kostenlosen Newsletter abonniert haben, werden Sie per E-Mail so rasch als möglich vom Auftauchen neuer Gefahren gewarnt und über geeignete Vorsichtsmaßnahmen informiert.

Bagle (Beagle)
Dumaru
LoveSan
Matrix.PPS (Powerpoint-Präsentation)
MiMail
MSBlast

Verbreitung über E-Mail mit einem attachment (= Beilage), dessen Endung .exe, .pif, .bat, .com oder .scr lautet.

Der Wurm kann nur durch Öffnen des angehängten attachments aktiviert werden.
Löschen Sie sofort jedes Mail, wenn Sie in der Betreff-Zeile einen der unten angeführten Texte finden, öffnen Sie auf keinen Fall die Beilage eines solchen Mails!

_berraschung
A worm is on your computer!
Advise who I am!
Back At The Funny Farm
Be careful! New mail worm
Ein Wurm ist auf Ihrem Computer!
Hey man, ling not see you
Hi darling, what are you doing now?
Hi Olle, lange niks mehr geh
Hi Schnuckel was machst du so ?
Ich habe Ihre E-Mail bekommen !
Ich Liebe Dich
I love you (I'm not a virus!)
I've become your mail!
Jetzt rate mal, wer ich bin !?
Langsam reicht es mir
Neue Sobig Variante (Lesen!!)
Neuer Virus im Umlauf!
New Sobig-Worm variation (please read)
Now, it's enough
Re: Contact
Re: lol
Re: Kontakt
RE: Sex
Sie haben mir einen Wurm geschickt!
Sie versenden Spam Mails (Virus?)
Sorry, Ich habe Ihre Mail bekommen
Sorry, I've become your mail
Surprise
Virus blocked every PC (Take care!)
Virus blockiert jeden PC (Vorsicht!)
Vorsicht!!! Neuer Mail Wurm
You have sent me a virus!
You send spam mails (Worm?)

Der Wurm kommt als E-Mail-Anhang und zeigt eine erstaunliche Wandlungsfähigkeit, weshalb es nicht einfach ist, ihn zu beschreiben und zu erkennen. Sowohl die Betreff-Zeilen und der Mailtext als auch der Name des attachments (= Beilage) wechseln ständig und können in Deutsch oder Englisch verfasst sein.
Sowohl die Betreffzeile als auch der Text sind jedoch so verfasst, dass sie dem Empfänger Angst einjagen sollen (z.B. Drohung mit einer Anzeige, Warnung vor dem angeblichen Eindringen eines Hackers) oder ihn neugierig machen (z.B. Zusendung der versprochenen Bilder oder Einladung zum Klassentreffen).
Hier ein Beispiel:

Von: <...>
An: <...>
Betreff: Ihre IP wurde geloggt
Datum: Montag, 22. Dezember 2003 00:13

Sehr geehrte Damen und Herren,

das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.
Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter
der IP 219.200.138.28 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.
Die von uns gesammelten Daten unter dem Aktenzeichen #22629
sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar.

Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf,
Europa Sonderkommission "Internet Downloads"

Hochachtungsvoll

i.A. PK Mollbach

Im Mailtext wird immer darauf hingewiesen, dass genauere Informationen in der Beilage enthalten sind und man diese daher öffnen solle. (Im oberen Beispiel kursiv!) Sollte man sich dazu verleiten lassen, dann wird der Virus auf dem PC installiert!
Die Endung der Beilage ist jedoch immer .exe, .pif, .bat, .com, .cmd oder .scr, oft auch eine Doppelendung, deren erster Teil .txt oder .doc und deren zweiter Teil eine der zuvor angeführten Endungen sein kann.
Es handelt sich dabei also um Dateien, bei denen Sie sowieso immer höchste Vorsicht walten lassen sollten!

Auf der Seite trojaner-info.de finden Sie zahlreiche weitere Beispiele, wie die Betreffzeilen, der Mailtext und die Namen der Beilagen in den ersten Tages des Befalles ausgesehen haben. Folgen Sie bitte diesem Link! (Die Werbung, die dort bisweilen aufpopt, verschwindet nach einigen Sekunden von selbst wieder.)

Nachdem sich der Wurm installiert hat (das macht er übrigens in doppelter Ausführung unter verschiedenen Namen, was seine manuelle Entfernung erschwert!), wird die folgende (natürlich gefälschte) Fehlermeldung angezeigt:

Anstelle des Wortes "first" kann ein beliebiges anderes (auch deutsches!) Wort stehen. Diese Meldung erhalten Sie jedoch nur einmal!

Der Wurm sucht auf dem PC nach ein- und ausgegangenen Mails sowie nach Adressen; er sammelt alle gefundenen Informationen in einer Datei namens Savesyss.dll, welche er entweder unter C:\Windows\System (Win 95, 98, ME) oder C:\Windows\System32 (Win XP) oder C:\WinNT\System32 (Windows NT / 2000) abspeichert.
Das Vorhandensein der Datei Savesyss.dll ist also ein sicheres Anzeichen für den Befall. Außerdem könnten auch die Dateien syshostx.exe, humgly.lkur oder yfjq.yqwm in den genannten Systemordnern vorhanden sein.

Bestätigung
Datenbank-Fehler
Details
Einzelheiten
Fehler
Fehler in E-Mail
Fehlerhafte Mailzustellung
Hallo!
Hallo Du!
Hey Du
Hi, Ich bin's
Ich bin es .-)
Ihr neues Passwort
Ihr Passwort
Illegale Zeichen in Mail-Routing
Info
Information
Mailzustellung fehlgeschlagen
Na, überrascht?!
Registrierungs-Bestätigung
Verbindung fehlgeschlagen
Verdammt
Warnung!

Offensichtlich kommen die verschiedenen Antiviren-Produzenten mit dem Zählen der Varianten nicht mehr nach:
Bei Sophos heißt der Virus .N, bei F-Secure .P, bei McAfee .P@MM, beim BSI und bei Symantec .O@mm und bei Trend Micro .S.
Die in Österreich zur Zeit grassierende Version wird meist als Sober.O oder Sober.P definiert.

Tatsache ist jedenfalls, dass diese Variante des Sober-Wurmes sich seit 02.05.05 in Europa sehr erfolgreich verbreitet und - wie erst heute bekannt wurde - ein höheres Gefahrenpotential aufweist als ursprünglich angenommen.

Wie schon seine Vorgänger "spricht" diese Variante auch deutsch und behauptet meistens die Weiterleitung eines angeblich irrtümlich erhaltenen Mails oder lockt mit Tickets für die Fußball-WM 2006 in Deutschland, was zu seiner starken Verbreitung im deutschsprachigen Raum erheblich beigetragen haben dürfte:
Bei vielen (männlichen?!) Usern dürften bei der Aussicht auf Gratis-Karten alle Panzerkasten-Sicherungen durchgebrannt sein...

• Benachrichtung zum Übermittlungsstatus (Fehlgeschlagen)
• Glueckwunsch: Ihr WM Ticket
• Ich bin's, was zum lachen ;)
• Ihr Passwort
• Ihre E-Mail wurde verweigert
• Ihre Nachricht konnte nicht zugestellt werden.
• Mail-Fehler!
• Unzustellbar: Ich bin's, was zum lachen ;)
• Unzustellbar: Ihr Passwort
• Unzustellbar: Mail-Fehler!
• WM Ticket Verlosung
• WM-Ticket-Auslosung

• account_info.zip
• account_info-text.zip
• autoemail-text.zip
• Fifa_Info-Text.zip
• LOL.zip
• mail_info.zip
• okTicket-info.zip
• our_secret.zip
• _PassWort-Info.zip
• <möglicherweise weitere>

Wie Sie sehen, ist der Anhang immer eine *.zip-Datei; das ist die Endung für gepackte Dateien.

Sie können sich den Wurm nur "einfangen", wenn Sie diese Datei (durch einen Klick auf sie) öffnen!
Also tun Sie das keinesfalls, sondern löschen Sie das Mail aus dem Posteingang und dann aus dem Ordner Gelöschte Objekte!

Sober.N wird erst nach einem Computer-Neustart aktiv.
Er deaktiviert die Windows XP-Firewall, das automatische Windows-Update und kann die meisten Virenschutz-Programme abschalten.
Er deaktiviert auch das LiveUpdate von Symantec, das ist der Hersteller von Norton-AntiVirus.

Sober.N erzeugt im Windows-Ordner sowie in der Registrierung zahlreiche Dateien bzw. löscht vorhandene.

Er verbreitet sich mit gefälschten Absender-Daten an alle E-Mail-Adressen, die er auf dem befallenen System findet und ändert dabei ununterbrochen den Betreff, den Mail-Text und/oder das Attachment.

Wenn Sie diese Meldung auf Ihrem Monitor schon gesehen haben, dann sind Sie leider bereits infiziert:

Laden Sie sich in diesem Fall den neuesten Stinger herunter, starten Sie im abgesicherten Modus und lassen Sie Stinger laufen.
Auch bei Symantec ist ein Entfernungstool speziell für Sober und alle seine Varianten erhältlich.

Sollten Sie ein eher unerfahrener Anwender sein, dann empfehlen wir Ihnen, kompetente Hilfe in Anspruch zu nehmen, wobei Sie sich natürlich auch gerne an uns wenden können - wenn die Entfernung zu Ihrem Wohnort nicht zu groß ist.

Alias: Sober.X, Sober.X/Z, Sober.AG

Wie schon bei Sober.N erwähnt, sind sich die Hersteller von Virenschutz-Programmen bei der Zählung der zahlreichen (zahllosen?) Sober-Varianten schon lange nicht mehr einig, weshalb ein und derselbe Virus neuerlich unter den verschiedensten Varianten-Bezeichnungen (Buchstaben) herumgeistert.
Eines aber ist sicher: Sober - und sein(e) Programmierer wird/werden immer besser...

• Tatsache ist jedenfalls, dass in der Nacht vom 22. auf den 23.11.05 allein in Österreich mehr als 400.000 Mails registriert wurden, welche diese neue Variante im Gepäck (spich: im Attachment) mit sich führen.
• Sober.Y ist damit im wahrsten Sinne des Wortes "über Nacht" zur größten Bedrohung dieses Jahres avanciert.
• Und die neueste Situation (22.11.05 - ca. 19:00 Uhr):
  Jetzt sind es an die fünf Millionen - a net schlecht, - oder?!

Es scheint, dass die meisten Virenschutz-Programmierer noch fleißig an der Entschlüsselung sowie an Abwehr- und Entfernungsstrategien arbeiten.
Auf den Homepages zahlreicher Firmen (darunter auch sehr renommierter!) fand er bis in die Mittagsstunden des heutigen Tages noch nicht einmal eine Erwähnung...
Die zur Zeit präzisesten Informationen bekommt man beim österreichischen Virenkiller Ikarus, der gegen 13:00 Uhr auch schon ein Entfernungstool (Remover) zum Download anbot.
Unsere ersten Informationen beruhen daher auch vorwiegend auf dieser Quelle; aber auch durch einige Anrufe von betroffenen Personen konnten wir bereits einiges in Erfahrung bringen.

Der Wurm W32.Sober.Y (auch Sober.X, .X/Z oder .AG genannt) verbirgt sich im Anhang (= Attachment) eines E-Mails und kann sich nur auf Ihrem Computer einnisten, wenn Sie diesen Anhang öffnen.
Seien Sie also extrem vorsichtig, öffnen Sie keine Attachments und löschen Sie E-Mails, die Ihnen verdächtig erscheinen.

Sobald die Virenschutz-Firmen diesen neuen Wurm analysiert haben, werden Updates zur Verfügung stehen, bis jetzt (22.11., 12:00 Uhr) ist dies jedoch noch nicht der Fall.

Hier die ersten, uns zur Verfügung stehenden Informationen:
(Die englischsprachigen Varianten haben wir weggelassen, damit diese Informationen nicht zu umfangreich werden.
Wir hoffen, dass Sie bei Mails in englischer Sprache ohnehin prinzipiell misstrauisch sind!)

Betreffzeile:

• Ihr Passwort
• Account Information
• SMTP Mail gescheitert
• Mailzustellung wurde unterbrochen
• Ermittlungsverfahren wurde eingeleitet
• Sie besitzen Raubkopien
• RTL: Wer wird Millionaer
• Sehr geehrter Ebay-Kunde

• Bei uns wurde ein neues Benutzerkonto mit dem Namen beantragt.
  Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
  Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
  Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
  Vielen Dank,
  Ihr Ebay-Team

• Aktenzeichen NR.:#
  (siehe Anhang)
  Hochachtungsvoll
  i.A. Juergen Stock
  --- Bundeskriminalamt BKA
  --- Referat LS 2
  --- 65173 Wiesbaden
  --- Tel.: +49 (0)611 - 55 - 12331 oder
  --- Tel.: +49 (0)611 - 55 - 0

• Sehr geehrte Dame, sehr geehrter Herr,
  das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP xxx.xxx.xxx.xxx erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet. Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt. Aktenzeichen NR.:#1363 (siehe Anhang) Hochachtungsvoll

• Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
  Sie sitzen demnaechst bei Guenther Jauch im Studio!
  Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
  +++ RTL interactive GmbH
  +++ Geschaeftsfuehrung: Dr. Constantin Lange
  +++ Am Coloneum 1
  +++ 50829 Koeln
  +++ Fon: +49(0) 221-780 0 oder
  +++ Fon: +49 (0) 180 5 44 66 99

Anhang (Attachment):
(Schrägstriche bedeuten ODER)

Service / Webmaster / Postman / Info / Hostmaster / Postmaster / Admin

• zip
• TextInfo.zip
• Email.zip
• Email_text.zip
• .zip

Akte / Downloads / BKA / Internet / Post / Anzeige / BKA.Bund .zip

Kandidat / WWM / Auslosung / Casting / Gewinn / Info / RTL-Admin / RTL / Webmaster / RTL-TV

• .zip
• _Text.zip
• Bzw. auch als:
• Ebay.zip
• Ebay-User_RegC.zip

Sollte Sie diese Warnung zu spät erreicht haben und Ihr Computer bereits infiziert sein, raten wir Ihnen, die Internet-Verbindung sofort zu trennen, da Sie ansonsten eine Quelle zur weiteren Verbreitung des Wurmes sind:

• Der Wurm versendet sich ohne Ihr Zutun an alle Adressen, die in Ihrem Adressbuch enthalten sind.
• Es ist auch gut möglich, dass weitere Schadprogramme über das Internet herunter geladen werden.

Alle bisherigen Sober-Varianten verstanden es mehr oder weniger gut,

• Virenschutz-Programme auszutricksen,
• den Download von Updates für diese Programme zu verhindern und auch
• den Download des meist top-aktuellen Virenkillers Stinger unmöglich zu machen.

Sie sollten also kompetente Hilfe in Anspruch nehmen, wenn Sie ein solches Mail erhalten und den Anhang geöffnet haben. Näheres können Sie demnächst hier nachlesen.

Dumaru ist sehr leicht zu erkennen, wenn man die einfachsten Grundregeln der Sicherheit kennt (und beachtet!):
Der (natürlich gefälschte!) Absender heißt security@microsoft.com.
(Niemals würde Microsoft Mails an Anwender senden!)
Der Betreff lautet "Use this patch immediately !" ("Verwenden Sie umgehend diese Reparatur-Datei !")
Der Name der Beilage (das ist natürlich der Virus!) lautet patch.exe.
Der in holprigem Englisch verfasste Mail-Text lautet:
"Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected!"
("Lieber Freund, verwende diese Reaparatur-Datei für den Internet Explorer sofort! Zur Zeit gibt es im Internet gefährliche Viren! Mehr als 500.000 sind bereits angesteckt!")

Öffnen Sie keinesfalls die beigefügt Datei patch.exe!

Powerpoint-Präsentation Matrix.PPS

Zur Zeit kursieren Mails, in denen vor einem Mail mit der Beilage "Welcome to the matrix.PPS" gewarnt wird. Sollte man dieses Mail erhalten und die genannte Beilage starten, würde unverzüglich die Festplatte zerstört und alle Daten gingen verloren.
Wer den Abschnitt über Hoaxes in unserem Viren-Insider gelesen hat, wird bei den folgenden Textpassagen im "Warnmail" sofort hellhörig:

"Besondere Vorsicht ist bei Internet-Anschlüssen wie MSN, Yahoo, Wanadoo, AOL, Infonie bzw kostenlose Anschlüsse geboten. - Diese Information kommt von Microsoft, Norton."
"Es muss alles Mögliche unternommen werden um diesen Virus zu stoppen. Auch Microsoft hat bereits seine Aggressivität bestätigt und bisher ist kein Antivirusprogramm fähig ihn zu zerstören."

Und natürlich die obligate Aufforderung:
"Bitte, diese Information kopieren und an alle ihre Kontakte weiterleiten!"

Vergessen Sie den Schmarr'n und leiten Sie diese "Warnung" keinesfalls weiter - das Mail, vor dem gewarnt wird, gibt es gar nicht, und Sie vergeuden nur Ihre Zeit und Ihr Geld und tragen überdies auch noch zur Verstopfung der Leitungen bei!

Der Computer wird in unregelmäßigen Abständen heruntergefahren, wenn eine Internetverbindung besteht, kann dann aber wieder normal gestartet werden.
Meist erscheint vorher ein Popup-Fenster mit dem Titel System herunterfahren und einer Uhr, die 60 Sekunden herunterzählt. Dieses Fenster kann nicht geschlossen werden.
Der PC kann aber auch infiziert sein, ohne dass Sie irgendetwas davon bemerken! Lesen Sie daher unter Erkennung weiter!

Um das Herunterfahren nach einer Minute zu verhindern, gehen Sie, sobald dieses Fenster sich meldet, auf Start - Ausführen und geben shutdown -a ein!

1. Deaktivieren Sie die Systemwiederherstellung.
2. Löschen Sie in der Registrierung unter [HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run] den Aufruf von "msblast.exe", "mslaugh.exe", "teekids.exe" und /oder "penis32.exe".
3. Fahren Sie neu hoch und löschen Sie die genannten Dateien aus dem System- bzw. System32-Ordner.
4. Spielen Sie den Sicherheits-Patch Microsoft Security Bulletin MS03-026 ein (achten Sie dabei auf Ihr Betriebssystem!) und installieren Sie ihn. Starten Sie anschließend wieder neu.
5. Laden Sie den Stinger von NAI (McAfee) herunter, installieren Sie ihn und scannen Sie das gesamte System. (Der Stinger sucht auch nach anderen Viren.)
6. Wenn Sie jetzt virenfrei sind, aktivieren Sie die Systemwiederherstellung wieder und fahren ein letztes Mal neu hoch.
7. Aktivieren Sie die Windows-eigene Firewall (nur Windows XP).
Beachten Sie auch eventuelle verdächtige Einträge in den Autostart-Ordnern und entfernen Sie diese.

Durch die vielen Varianten (schon 13 Versionen zwischen 01.08. und 03.12. 2003!) ziemlich schwierig, da viele Varianten mit verschiedenen Betreffzeilen, verschiedenen Textinhalten und verschiedenen Beilagen daherkommen.
Alle sind jedoch in englischer Sprache - Ihre Alarmglocken müssten also sofort klingeln!

Hier die häufigsten Absender:
PayPal.com [account_verification51059@juno.com]
admin@<lokale Domäne> - also der gleiche Provider, den auch Sie haben!
james@<lokale Domäne>
john@<lokale Domäne>
Wendy <eventuell + lokale Domäne>
Do_Not_Reply@paypal.com

Hier die häufigsten Betreffzeilen:
your account <plus weitere zufällige Zeichen>
Re[2]: our private photos <eventuell weitere zufällige Buchstabenkombinationen>
don't be late! <eventuell weitere zufällige Buchstabenkombinationen>
YOUR PAYPAL.COM ACCOUNT EXPIRES
Problems with your PayPal account
Re[3]
Re[2] We are going to bill your credit card:
IMPORTANT <eventuell weitere zufällige Buchstabenkombinationen>

Löschen Sie derartige Mail sofort - öffnen Sie keinesfalls die attachments (Beilagen)!

Sollte Ihnen dämmern, dass Sie ein derartigel Mail erhalten und das attachment geöffnet haben, dann suchen Sie nach den unten genannten Dateien!
Auch diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit!

Suchen Sie im Windows-Hauptordner nach dem Vorhandensein der folgenden Dateien. Da es so viele sind, wird nicht empfohlen, die Suchen-Funktion von Windows zu verwenden, sondern den Windows-Ordner im Explorer zu öffnen und dann die Liste der enthaltenen Dateien zu durchsuchen. Klicken Sie vorher im Menü Ansicht auf Details, darauf werden im rechten Fenster die grau hinterlegten Spaltenüberschriften Name, Größe, Typ usw. dargestellt. Klicken Sie hier auf Typ, dann sind alle *.exe und *.tmp - Dateien in Paketen vereint sichtbar.
(Näheres zu den Ansichts-Optionen finden Sie bei den Windows-Tipps.)

Im Hauptordner C:\
ppinfo.sys
PP.HTA
PP.GIF

Im Ordner C:\Windows oder C:\WinNT
cnfrm.exe
cnfrm33.exe
netmon.exe
netwatch.exe
svchost32.exe (löschen Sie aber keinesfalls die Datei svchost.exe!!!)
sysload32.exe
Videodrv.exe

ee98af.tmp
el388.tmp
eml.tmp
exe.tmp
xjwu2.tmp
Xu298da.tmp
zip.tmp
ZP3891.TMP

Sollten Sie fündig werden, dann ist Ihr PC infiziert!
(Dann haben Sie aber auch gegen die grundlegenden Vorsichtsmaßnahmen im Umgang mit Mails verstoßen! Lesen Sie doch einmal unseren Viren-Insider! Aber Sie sind nicht allein: Die Ausbreitungsrate dieses Wurmes ist enorm!)

Von Symantec wird ein spezielles Entfernungs-Programm für W32.Mimail in all seinen Varianten zum kostenlosen Download bereitgestellt (Englisch).

Sie können auch unsere Hilfe in Anspruch nehmen.

1. Über E-Mail
In älteren Internet-Explorer u. Outlook Express - Versionen (kleiner als 6.0) besteht eine Sicherheitslücke, die es dem Virus erlaubt, sich sofort nach dem Abholen des Mails vom Provider auf dem Rechner zu installieren. Genauere Informationen zu den verschiedenen Versionen erhalten Sie hier, über Update-Möglichkeiten lesen sie hier! Wenn Sie eine solche ältere Version nicht updaten können oder wollen (was wir Ihnen aber dringend empfehlen!), dann besorgen Sie sich zumindest diesen Patch von Microsoft, der diese Sicherheitslücke schließt (Englisch).
Bei neueren Versionen kann der Wurm nur aktiviert werden, wenn das beigefügte attachment (= Beilage) vom Mail-Empfänger geöffnet wird.
2. Über Kazaa und IRC
Über Kazaa werden hauptsächlich Musik und Bilder ausgetauscht, IRC (Internet Relay Chat) - Kanäle dienen zum Chatten, also zur Informationsübertragung in Echtzeit durch Eintippen der Nachrichten.
Beides ist besonders bei Kindern und Jugendlichen sehr beliebt!
3. Über Netzwerke
In lokalen Netzwerken sucht der Wurm nach freigegebenen Autostart - Verzeichnissen. Da diese im Englischen aber nicht Autostart, sondern Startup heißen, sollte er sich in deutschsprachigen Netzwerken nicht verbreiten können - es sei denn, der Autor des Wurmes liefert noch eine modifizierte Fassung nach...

Wenn ein Computer befallen ist, dann verbreitet er den Virus ebenfalls auf alle oben angeführten Weisen, wobei er in E-Mails die Absender-Adressen geschickt fälscht, sodass der Empfänger des Mails über den wirklichen Absender getäuscht wird.

Ausgesprochen schwierig, da infizierte Mails ununterbrochen sowohl den Absender und die Betreff-Zeile, als auch den Mail-Inhalt sowie den Namen des beigefügten attachments modifizieren!
Häufig gibt sich das Mail als eine Security (= Sicherheits) - Benachrichtigung von Microsoft (in englischer Sprache) aus, und sieht der tatsächlichen Microsoft-Seite tatsächlich erstaunlich ähnlich [Abbildung].

In solchen Fällen sollten Ihre Alarmglocken prinzipiell nicht nur klingeln, sondern schon schmerzhaft laut läuten: Glauben Sie wirklich, Microsft bietet Ihnen per E-Mail ein Sicherheits-Update an??

Auch die den Virus-Code enthaltenden Dateien, die in das Windows-Verzeichnis kopiert und bei jedem Systemstart aufgerufen werden (und die dem Virendoktor das Erkennen des Virus häufig sehr erleichtern!), ändern bei diesem raffiniert programmierten Wurm bei jedem neu gefundenen Opfer ihre Namen!
Ein sicheres Zeichen für einen Befall ist das Vorhandensein der Dateien Germs0.dbv und Swen1.dat im Windows-Ordner.
Sie haben gerade gelesen, dass auch alle bekannten Virenwächter-Prozesse beendet werden. Wenn Sie versuchen, einen dieser beendeten Prozesse wieder zu starten, erhalten Sie die Meldung "Memory access violation in module kernel32 at Nummer", wobei Nummer eine beliebige hexadeziamle Zahl (die auch Buchstaben enthalten kann) ist. Auch eine solche Meldung ist also für Sie ein sicheres Kennzeichen für die Existenz des Wurmes auf Ihrem Rechner.

30.01.04 - verbreitet sich rasend schnell!

Auf befallenen Cpmputern wird unter anderem ein sogenanntes Backdoor-Programm installiert, wodurch ein Zugriff aus dem Internet auf Ihren Computer möglich ist, sobald Internet-Verbindung besteht - also eine ungute Sache, da es dadurch jederzeit möglich ist, weitere Programme aus dem Internet zu laden und auszuführen.
Die Variante B der Wurmes sperrt des weiteren den Internet-Zugang zu allen bekannten Erzeugern von Virenschutzprogrammen. Dadurch ist es weder möglich, diese Programme upzudaten, noch die Entfernungsprogramme für den Wurm herunter zu laden. Auf diese Weise schützt sich der Wurm sehr wirksam vor seiner eigenen Enttarnung und Vernichtung!

Wir haben auch beobachtet, dass der Wurm nach dem (erfolgreichen) Versand von E-Mails diese nicht aus dem Ordner Postausgang löscht, sondern alle dort vorhandenen Mails bei jedem neuerlichen E-Mail-Versand immer wieder verschickt!
So erhalten Ihre Mail-Partner ein- und dasselbe Mail immer wieder - und mit diesem vielleicht auch den Wurm! Auf diese Weise machen Sie sich sicherlich sehr beliebt...

Verbreitung

Wie jeder W32-Wurm sieht auch MyDoom es als seine Hauptaufgabe an, sich möglichst rasch zu verbreiten. Er versendet sich daher sofort an alle E-Mail-Adressen, die im Adressbuch des befallenen Computers gefunden werden, sobald das Mail-Programm (Outlook oder Outlook Express) gestartet wird.
Öffnen Sie daher diese Programme nicht mehr, wenn Sie den Verdacht haben, dass Ihr PC befallen sein könnte (siehe Erkennung)!

Aber auch über das beliebte Datenaustausch-Programm KaZaA kann sich der Wurm auf Ihrem Computer einnisten! Mit diesem Programm laden sich besonders Jugendliche in der Regel Musik-Dateien im *.mp3-Format von anderen KaZaA-usern herunter.

Ab dem 01.02.04 versuchen beide Würmer, von allen infizierten Systemen, die an diesem Tag online gehen (und das sind dann weltweit mit Sicherheit bereits mehrere Millionen!), die Homepage www.sco.com zu erreichen, - und diese dadurch lahmzulegen.
(Diese Firma versucht zur Zeit, das bei Windows-Gegnern äußerst beliebte Betriebssystem LINUX für sich juristisch zu beanspruchen; - die Linux-Fans sind deshalb aber (berechtigt!!) mehr als aufgebracht - und die meisten von ihnen sind gute Programmierer...)
Nach dem 03. Februar 2004 greift MyDoom.B auch die Website www.microsoft.com an - und ist damit bei seinem Lieblingsfeind angelangt.

Nach dem 1. März 2004 verbreitet sich MyDoom nicht mehr, - ein Ablaufdatum zu diesem Zeitpunkt ist in seinem Code enthalten.
Aber Achtung: Das Backdoor-Programm bleibt auf befallenen Systemen erhalten!

Die Absender des Mails sind gefälscht; meist eine Kombination aus einem im Adressbuch gefundenen Namen (vor dem @) und einer anderen gefundenen Domain (nach dem @).
Sie wissen also nicht, wer Ihnen das Ei gelegt hat, - beschuldigen Sie daher nicht vorschnell eine bestimmte Person, nur weil das für Sie so aussieht!

Sie erkennen MyDoom an einer der folgenden Betreffzeilen:

Delivery Error
Error
hello
hi
Mail Delivery System
Mail Transaction Failed
Returned mail
Server Report
Status
Test
Unable to deliver the message
oder anderen Kombinationen aus diesen Wörtern.

Der Mail-Text enthält eine der folgenden Mitteilungen:

Mail transaction failed. Partial message is available.
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
test
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.

Das attachment, also die mitgeschickte Beilage, kann folgende Namen haben:

body
data
doc
document
file
hello
message
readme
test
text
Diese Namen können allerdings ebenfalls variieren - diese Aufzählung ist daher nur eine Hilfe!

Nach dem Namen der Beilage folgt die Dateinamen-Erweiterung, - also die drei Buchstaben nach dem Punkt. Es kann sich auch um zwei Erweiterungen handeln, was sowieso in jedem Fall auf einen Virus hinweist!
Bei zwei Erweiterungen lautet die erste auf jeden Fall

HTM, DOC oder TXT (auch in Kleinschreibung).

Die zweite (oder einzige) Erweiterung lautet in jedem Fall

PIF, SCR, EXE, CMD, BAT oder ZIP, - also genau jene Endungen, vor denen wir Sie laufend warnen!
(Die *.zip - Datei ist tatsächlich eine *.zip-Datei, die eine gepackte Kopie des Wurmes mit demselben Dateinamen wie die *.zip-Datei enthält. Beispielsweise enthält die Datei readme.zip eine Datei namens readme.pif.)

Größe des Anhanges:
MyDoom.A: 22.528 Byte. Die Größe in den gezippten Beilagen variiert .
MyDoom.B: 29.184 Bytes; 6.144 Bytes in der gezippten Version.

Sie können sich den Wurm nur einfangen, wenn Sie diese Beilage öffnen!!

Obwohl es sich also um altbekannte gefährliche Datei-Endungen handelt, und obwohl sowohl Betreffzeilen, Inhalt und Beilagen in englischer Sprache sind, verbreitet sich der Wurm interessanterweise in Europa schneller, als in den Vereinigten Staaten und Kanada.

Zuerst müssen Sie wissen, wo Ihr Systemordner ist:

Windows 95/98/ME: C:\Windows\System
Windows NT/2000: C:\Winnt\System32
Windows XP: C:\Windows\System32

Wenn Sie in diesem Systemordner die Dateien Shimgapi.dll und /oder Taskmon.exe entdecken, dann ist ihr Computer von der A-Variante befallen!
Wenn Sie in diesem Systemordner die Dateien Ctfmon.dll und /oder Explorer.exe entdecken, dann ist ihr Computer von der noch gefährlicheren B-Variante befallen!

Achtung: Sowohl die Datei Taskmon.exe (in Windows 95/98/ME) als auch Explorer.exe (in allen Windows-Versionen) sind legitime Dateien des Betriebssystemes und dürfen deshalb keinesfalls gelöscht werden!
Diese Dateien befinden sich jedoch nicht im Systemordner, sondern im direkt darüber liegenden Windows-Ordner, also C:\Windows oder C:\Winnt!

Der Wurm kann sich auch in den frei gegebenen Ordner (Downloadbereich - My Shared Folder) von KaZaA unter einem der folgenden Namen kopieren:

MyDoom.A:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

MyDoom.B:
NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final

Die verwendeten Dateinamen-Erweiterungen sind dabei PIF, SCR, BAT oder EXE.

Für Experten: Selbstverständlich tragen sich sowohl der Virus als auch das Backdoor-Programm in die Registrierung ein, und zwar unter

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\,
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ sowie
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32.

Da eine Verbindung zu Virenschutz-Seiten im Internet bei Befall mit Variante B nicht möglich ist, holen Sie sich alternativ ein Entfernungsprogramm von heise.de (dort wird auf keine Virenschutz-Firma weiter gelinkt!).
Sie finden zwei Links im Absatz "Entfernung des Wurmes".

Selbstverständlich können auch wir Ihnen gerne helfen. Wir können Ihnen auch ein Entfernungsprogramm auf Diskette mit nach Hause geben.

Experten löschen erst die genannten Einträge in der registry, starten dann abgesichert neu und entfernen im Explorer die zitierten Dateien.
Nach einem weiteren Neustart im abgesicherten Modus muss auch der Temp-Ordner geleert werden. (Auf die Dateien, die dort vom Wurm abgelegt werden, sind wir hier nicht näher eingegangen - achten Sie auf eine Datei namens Message!)
Laden Sie danach ein Virenschutz-update oder ein removal-tool herunter und scannen Sie Laufwerk C:\ - zweimal ist besser als keinmal!
Vergessen Sie unter Windows XP nicht, zuvor die Systemwiederherstellung zu deaktivieren und diese abschließend wieder zu aktivieren; bei einer eventuell notwendigen Systemwiederherstellung würde ansonsten natürlich auch der Wurm wieder hergestellt - und das wollen wir doch nicht... ;-))

30. Juli 2004
Diese Variante, über deren Benennung man sich bei den Herstellern von Antiviren-Software mal wieder nicht einig ist, erlebte in den letzten Tagen ein heftiges Medienecho. Sogar von einer "totalen Verseuchung von Google" war reißerisch die Rede.
Mehrmals wurden wir gefragt, warum wir vor dieser Variante hier nicht ausführlich warnen. Die Erklärung ist einfach:

Mydoom.M ist nicht mehr oder weniger gefährlich als alle anderen Variationen dieses Wurmes, er bedient sich der üblichen Verbreitungskanäle (Anhang in E-Mails, der vom Empfänger geöffnet werden muss!) und er fand in Deutschland und Österreich auch keine besonders starke Verbreitung.
Wohl aber kann er mit einer Besonderheit aufwarten, die erstmals beobachtet wurde und der er auch seine starke Beachtung durch die Medien verdankt: Wie jeder andere Wurm sucht er auf befallenen Systemen sofort nach E-Mail-Adressen, um sich an diese weiter zu senden, dann aber sucht er auf den bekanntesten Suchmaschinen nach weiterem Adressenmaterial, um möglichst viele weitere potentielle Opfer zu finden.
Diesem Ansturm an Anfragen waren Google & Co am 27.07. für einige Stunden nicht gewachsen und gingen bedenklich in die Knie. Die Suchmaschinen sind und waren also nicht verseucht, wie fälschlich zu lesen war, sondern schlicht und einfach überlastet.

Wenn Sie die üblichen Vorsichtsmaßnahmen walten ließen (keine verdächtigen attachments öffnen; das Virenschutzprogramm regelmäßig, am besten täglich, updaten; prinzipielles Misstrauen bei Mails in englischer Sprache), dann waren und sind Sie durch diesen Wurm nicht gefährdet.

Für ausführlichere Informationen über Mydoom.M empfehlen wir die Lektüre des Artikels bei PCtipp.ch.

NetSky.B

Seit 18.02.2004, hohe Verbreitung besonders in Europa, auch in Österreich.

Betreff, Nachricht und attachment sind in Englisch.

Die Betreff-Zeile kann lauten:
fake
hello
hi
information
read it immediately
something for you
stolen
unknown
warning

Der Name des attachments (der Beilage) kann heißen:
aboutyou
attachment
bill
concert
creditcard
details
dinner
disco
doc
document
final
found
friend
information
jokes
location
mail2
mails
me
message
misc
msg
nomoney
note
object
part2
party
posting
product
ps
ranking
release
shower
story
stuff
swimmingpool
talk
textfile
topseller
website

Die Dateinamenserweiterung (das sind die drei Buchstaben nach dem Punkt) des attachments kann einfach oder zweifach sein. Sind zwei Erweiterungen vorhanden, dann lautet die erste
DOC,
HTM,
RTF oder
TXT.
Die zweite (oder einzige) heißt
COM,
EXE,
PIF oder
SCR; in nahezu der Hälfte aller Fälle auch
ZIP.

Öffnen Sie keinesfalls ein solches attachment, sondern löschen Sie solche Mails unverzüglich!

Wenn der Wurm (durch Öffnen der Beilage!) installiert wird, erscheint das folgende Fenster:

Dieses Fenster erscheint jedoch nur einmal!

Sodann kopiert sich der Wurm mit der Datei SERVICES.EXE in das Windows-Verzeichnis (C:\Windows oder C:\Winnt).
Das Vorhandensein dieser Datei ist ein sicheres Anzeichen eines Befalles.

Aktualisieren Sie Ihr Virenschutzprogramm und starten Sie einen Suchlauf!

Sollten Sie kein Virenschutzprogramm installiert haben, dann starten Sie im abgesicherten Modus und entfernen die oben genannte Datei Services.exe aus dem Windows-Verzeichnis.
Öffnen Sie dann den Registrierungs-Editor und löschen Sie den folgenden Eintrag:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
service = %Windows%\services.exe -serv
Starten Sie anschließend den Computer neu und holen Sie sich bei Symantec ein Entfernungsprogramm für diesen Virus. Durchsuchen Sie mit Hilfe dieses Programmes alle Festplatten und löschen Sie alle infizierten Dateien.

Selbstverständlich können Sie - wie in allen Fällen - auch unsere Hilfe in Anspruch nehmen!

Die Betreffzeile kann stark variieren, wir wollen daher hier nicht alle aufzählen. Öffnen Sie keinen Datei-Anhang, wenn die Betreff-Zeile
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file
lautet oder wenn Sie mit
Re:
beginnt und der Text nach dem Re: in englischer Sprache ist, z. B.
Re: Your software!

Die eigentliche Nachricht kann lauten:
Your document is attached.
Here is the file.
See the attached file for details.
Please have a look at the attached file
Please read the attached file.
Your file is attached.

Das attachment, welches den Wurm enthält, variiert ebenfalls sehr stark, hat aber in jedem Fall die Namenserweiterung
pif,
also zum Beispiel
mp3music.pif

Im Windows-Verzeichnis befindet sich eine Datei namens Winlogon.exe, die bei jedem Windows-Start aufgerufen wird. Das einfache Löschen dieser Datei befreit Sie allerdings nicht von dem Wurm!

Achtung: In den Windows-Versionen NT, 2000 und XP gibt es eine gleichnamige (unentbehrliche!) Datei, die nicht gelöscht werden darf. Diese Datei steuert nämlich das An- und Abmelden beim Hoch- bzw. Hinunterfahren des Computers und ist daher ein integraler Bestandteil dieser Betriebssysteme!
Sie befindet sich aber nicht im Windows-Hauptordner, sondern im System32-Unterordner von Windows!

Im Ordner C:\Windows oder C:\WinNT befindet sich die Datei FVProtect.exe.

Sollten Sie diese Datei entdecken, dann laden Sie sich das Entfernungsprogramm von Symantec herunter, welches Sie hier finden.
Im Downloadfenster klicken Sie dann links unten auf Öffnen oder Ausführen. Der Download geht recht rasch, dann öffnet sich das Symantec-Fenster und Sie klicken auf Start.

Die Urversion dieses Massenmailer-Wurmes (Bagle.A) ist seit 18.01.04 bekannt, aber erst in seiner zweiten Fassung vom 17.02. (Bagle.B) wurde der Wurm bekannt, da sich diese Version einerseits sehr "erfolgreich" ausbreitete und andererseits in den "Krieg der Hacker" zwischen MyDoom und Netsky als dritter im Bunde eintrat.

Mittlerweile (14.04.04) scheint man mit dem Zählen der verschiedenen Versionen kaum noch nachzukommen, denn die letzte Version wird von einem Teil der Entwickler von Antiviren-Software als Bagle.M, von einem anderen Teil bereits als Bagle.N bezeichnet. Es gibt zur Zeit also bereits 13 (oder 14?) Versionen dieses Wurmes, und jede wurde gefährlicher als die vorhergehende, da die Ausbreitungsmechanismen immer raffinierter und die Auswirkungen auf befallenen Computern immer vielfältiger wurden. Die letzte Version Bagle.M (oder doch .N?) ist eine raffinierte Kombination aus Wurm, Virus und Trojaner, die überdies auch noch eine Backdoor-Komponente enthält!

Jede einzelne Bagle-Version hat andere Betreffzeilen, andere Textinhalte und andere attachments, also Beilagen. Und zwar nicht nur jeweils eine, sondern gleich bis zu einem Dutzend verschiedene.
Sie werden verstehen, dass wir diese daher hier nicht alle aufzählen können - das würde auch niemand lesen!
Gemeinsam ist jedoch allen Varianten, dass Betreffzeilen, Texte und Beilagen immer ausschließlich in englischer Sprache sind. Seien Sie also bei englischen Mails prinzipiell vorsichtig und öffnen Sie keinesfalls die Beilagen solcher Mails! Löschen Sie diese vielmehr sofort und löschen Sie sie dann auch gleich noch aus dem Ordner Gelöschte Objekte!

Der Wurm findet heraus, über welche Domain Sie sich ins Internet verbinden. Die Domain ist jener Teil der E-Mail-Adresse, der sich nach dem "Klammeraffen" @ befindet, also beispielsweise @aon.at, @uta.at.
Ich, der Autor dieser Zeilen, bin beim Provider surfeu.at und erhielt kürzlich das folgende E-Mail:

Absender: noreply@surfeu.at

Betreff: Important notify

Attachment: Document.zip

Mailtext:

Dear user of " Surfeu.at " mailing system,

Our antivirus software has detected a large ammount of viruses outgoing
from your email account, you may use our free anti-virus tool to clean up
your computer software.

Advanced details can be found in attached file.

Archive password:

Best wishes,
The Surfeu.at team
http://www.surfeu.at

Übersetzung:

Lieber Anwender des "Surfeu.at" Mail-Systems,
unsere Antivirus-Software hat eine große Menge (wobei man "amount" nur mit einem m schreibt!) Viren entdeckt, die von Ihrem E-Mail-Anschluss ausgehen. Sie können unser kostenloses Anti-Viren-Programm zum Säubern Ihrer Computer-Software benutzen.
Weitere Details finden Sie in der beigelegten Datei.
Mit besten Wünschen
das Surfeu.at - Team

Nun ist zwar in Computerkreisen die Verwendung der englischen Sprache sehr häufig - aber dass ein österreichisches Unternehmen einen österreichischen Kunden auf Englisch vor einer Virenverseuchung warnt, das ist natürlich lächerlich (übrigens auch nicht auf deutsch)!
Was glauben Sie, was passiert wäre, wenn ich die beigelegte Datei geöffnet hätte? Auf diese "weiteren Details" kann man getrost verzichten, denn ein bis dahin sauberes System wäre dann endlich auch verseucht gewesen!

Wenn Sie - was Sie eigentlich sollten! - einen guten Virenschutz installiert haben und ihn ständig updaten, dann sollte Ihnen ja ohnehin nichts passieren. (Die bekanntesten Schutzprogramme finden Sie auf unserer Downlaodseite.)
Andernfalls sollten Sie sich (mindestens wöchentlich!) das stets topaktuelle und kostenlose Programm Stinger herunterladen und das Laufwerk C:\ damit scannen! Auch dazu finden Sie Näheres bei unseren Downloadempfehlungen.

Nach den uns bisher vorliegenden Erkenntnissen verwendet Sasser unterschiedliche Angriffsmethoden, um weitere Computer zu infizieren.

Möglichkeit 1:
Die Infektion geht völlig unbemerkt über die Bühne. Nach erfolgreicher Infektion befindet sich im Windows-Verzeichnis die Datei avserve.exe oder avserve2.exe. Im selben Verzeichnis oder im Windows-Unterverzeichnis Ssystem32 kann der Wurm Kopien von sich selbst anlegen, welche die Namen ?????_up.exe haben. (????? sind beliebige Ziffern, also beispielsweise 34672_up.exe; es können auch nur vier Ziffern sein.)

Möglichkeit 2:
Beim Versuch der Infektion kommt es zu folgender Fehlermeldung:

Deutsch:

Englisch:

Egal, auf welchen Schalter Sie klicken, - im folgenden Fenster wird der Countdown Ihres Computers innerhalb von 60 Sekunden eingeleitet (das kennen Sie vielleicht schon, wenn Sie mit MSBlast32 schon unliebsame Bekanntschaft gemacht haben!):

Deutsch:

Englisch:

Die Dateien, die den Virus enthalten, haben sich zu diesem Zeitpunkt höchstwahrscheinlich noch nicht auf dem PC eingenistet, aber die Wahrscheinlichkeit, dass Sie bei Ihrem nächsten Besuch im Internet wieder auf die gleiche Weise attackiert werden, ist groß!
Sie können den Countdown abbrechen, indem Sie auf Start und dann auf Ausführen... klicken. Tippen Sie nun in die weiße Kommandozeile shutdown -a ein und klicken Sie dann auf OK. Das macht aber nur Sinn, wenn dieser Countdown bereits begonnen hat!

Trennen Sie zunächst die Internet-Verbindung!
Wenn Sie mit dem Betriebssystem Windows XP arbeiten, aktivieren Sie umgehend die Firewall; wie das geht, können Sie hier nachlesen.
Fahren Sie den PC hinunter. Auch dabei könnte es noch zu der folgenden unliebsamen Überraschung kommen:

Drücken Sie in diesem Fall die Tastenkombination Strg+Alt+Entf und dann auf den Schalter (oder den Menüeintrag) Herunterfahren!

Microsoft hat am 13. April 2004 ein Patch (= Reparatur-Datei) veröffentlicht und dieses am 28. April noch einmal aktualisiert, nachdem der Wurm Sasser damit begonnen hatte, diese Sicherheitslücke zu nützen. Sie sollten dieses Patch umgehend installieren, wenn Sie zum gefährdeten Personenkreis zählen!
Das kann allerdings zum Problem werden, wenn Sie - wie oben beschrieben - von dem Virus andauernd attackiert werden. Die Patch-Datei ist mehr als 2,5 MB groß, und wenn Ihre Internet-Verbindung langsam ist, kann es schon sein, dass Sie mit dem Herunterladen einfach nicht fertig werden. Vielleicht kann ein Bekannter für Sie das Patch herunterladen, auf seinem PC speichern und für Sie auf eine CD brennen oder in einem memory-stick speichern.
Sie können sich natürlich auch an uns wenden!

Wenn Ihre Verbindung noch einigermaßen stabil ist bzw. wenn Sie noch gar nicht betroffen sind, klicken Sie auf den unten stehenden Link, scrollen Sie auf der (englischen) Seite etwas hinunter und suchen Sie das richtige Betriebssytem aus; klicken Sie daneben auf Download the update.
Nun öffnet sich ein neues Fenster; im rechten oberen Kästchen klicken Sie unter Change language in der Zeile English auf den Listenpfeil und wählen dann in der Auswahl-Liste German (Achtung: Nicht "Dutch"!). Klicken Sie jetzt daneben auf den kleinen Schalter Go.
Neuerlich ändert sich der Bildschirm - und jetzt spricht man wieder deutsch mit Ihnen. Scrollen Sie hinunter und folgen Sie dort den weiteren Anleitungen!
Und hier ist der erwähnte Link!

Die zweite Variante des Wurmes, die sich seit 01.05.2004 ausbreitet, ist ein Abziehbild der ersten, inzwischen als Sasser.A bezeichneten Variante.
Sasser.B unterscheidet sich nur dadurch, das die Wurm-Datei im Windows-Verzeichnis den Namen aserve2.exe hat und natürlich mit diesem Namen auch in der Registrierung eingetragen ist.

Die beiden Sasser-Würmer, deren Ursprung in Lateinamerika zu liegen scheint, erstürmten in vielen europäischen Ländern innerhalb weniger Tage die Nummer 1 der Viren-Hit-Liste!

Der Autor von "Sasser" scheint leider ein fleißiger Mensch zu sein und hält die Programmierer der Virenschutz-Programme auf Trab. In den Nachmittagsstunden des 04.05. tauchte schon die vierte Variante, Sasser.D, auf. Die Art der Verbreitung ist natürlich die Gleiche - die Sicherheitslücke in Windows 2000 und Windows XP. (Bei NT-Betriebssystemen dagegen hatte der Wurm so gut wie keinen Erfolg.)

Im Gegensatz zu den ersten drei Versionen hat sich nun jedoch der Name der Datei geändert, die den Virus enthält und die (durch einen entsprechenden Eintrag in der Registrierung) bei jedem Systemstart aufgerufen wird. Diese Datei, die ebenfalls im Windows-Hauptverzeichnis gespeichert wird, heißt in der Variante D nun skynetave.exe!