Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit, informiert über einen neuen Internet-Wurm 'Anset', der sich via eMail verbreitet und sich als eine neue Version des deutschen antitrojanischen Programms 'ANTS' tarnt. Derzeit ist eine Vielzahl von Infizierungen in Deutschland registriert worden.

Die Schutzmaßnahmen gegen 'Anset' sind bereits dem täglichen Update der Kaspersky Antiviren-Datenbanken hinzugefügt.

Eine nähere Beschreibung dieses Internet-Wurms finden Sie im Kaspersky Virus-Lexikon.

I-Worm.Anset

Ein Wurm-Virus. Verbreitet sich via Internet als an eMails angehängte Dateien. Der Wurm ist eine Windows-Anwendung (PE EXE-Datei), etwa 462Kb oder 186Kb (komprimiert als UPX) groß, auf Delphi geschrieben.

Die infizierten eMails sehen folgenderweise aus:

Mail-Titel: ANTS Version 3.0
Mail-Text:

Hi, Anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen kostenlosen Trojanerscanner. Zum installieren einfach die angefügte Datei ausführen.

Attached you will find the brand new Version 3.0 of ANTS, the unique freeware trojan scanner. To install ANTS simply run the attached setup file.

Adieu, Andreas
webmaster@avnetwork.de
http://www.ants-online.de

Dateianhang: ants3set.exe

Der Wurm aktiviert sich, nur wenn der Anwender die infizierte Datei selbst startet (beim zweimaligen Klicken auf dem Anhang), danach installiert er sich ins System und aktiviert den Versand von infizierten Mails.

Bei der Installation kopiert sich der Wurm ins Windows-Verzeichnis mit dem aus der Liste zufällig ausgewählten Namen:

zfcy.exe
BM.exe
GG.exe
hlutl.exe

und registriert sich im Schlüssel des System-Registers:

HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce "Dateiname"="C:\Windows\Dateiname.exe"

Beim Versand der infizierten Dateien liest der Wurm eMail-Adressen aus dem MS Outlook-Adressbuch, und dann sucht nach zusätzlichen eMail-Adressen auf C:-Laufwerk in den Dateien, die sie beinhalten können:

*.php *.htm *.shtm *.cgi *.pl

Dann kopiert er sich in das C:-Wurzelverzeichnis mit dem Namen 'ANTS3SET.EXE', und hängt diese Datei der Mail an und verschickt sie über die direkte Verbindung mit dem SMTP-Server.

Der Wurm weist Fehler während der Arbeit mit dem Mail-Server nach und ist in einigen Fällen nicht verbreitensfähig.