Neuer Mimail-Wurm fragt Kreditkartennummer ab

Von Hayo Lücke

Bereits Anfang November machten wir auf eine neue Version des Internetwurms Mimail aufmerksam, nun verbreitet sich eine weitere Mimail-Variante mit hoher Geschwindigkeit im weltweiten Datennetz. Laut den Virenschutzexperten von der H+BEDV Datentechnik GmbH, die für die Anti-Virus-Software AntiVir verantwortlich sind, ist die neue I-Variante die bislang Gefährlichste.

Nach Einschätzung der Experten ist der Wurm in der Lage, ernsthaften Schaden anzurichten. Kritisch ist insbesondere, dass der Schädling um eine Kreditkartenabfrage erweitert worden ist. Nutzer des Internet-Bezahldienstes PayPal sollten besondere Vorsicht walten lassen, wenn sie eine vermeintliche E-Mail der PayPal-Betreiber in ihrem Posteingang finden.

Das Muster des Eindringens ist bekannt: Wie viele seiner Vorgänger schleust sich Mimail.I über eine persönliche und Vertrauen erweckende E-Mail ins System des Anwenders. Zu erkennen ist die in englischer Sprache verfasste E-Mail an dem Betreff YOUR PAYPAL.COM ACCOUNT EXPIRES. Installiert man die im Anhang mitgeschickte Datei www.paypal.com.scr und startet den Rechner neu, wird die neue Mimail-Variante aktiv. Entgegen seiner Vorgänger zeigt der Wurm nach der Aktivierung aber ein Popup-Fenster mit der Aufforderung, persönliche Daten und die Kreditkartennummer einzutragen. Folgt man dieser Anweisung, werden diese Daten anschließend - unbemerkt vom User - per Email weiterversendet.

Ferner werden durch die Aktivierung im Windows-Ordner die Dateien SVCHOST32.EXE und EE98AF.TMP abgelegt. Der Wurm durchsucht das System nach E-Mail-Adressen und speichert diese ebenfalls im Windows-Ordner in die Datei EL388.TMP. Über eine eigene SMTP-Maschine versendet sich der Wurm anschließend automatisch an die gefundenen Adressen weiter.

Auf der AntiVir-Homepage wird sowohl ein Tool zum Entfernen des Schädlings angeboten, als auch eine Beschreibung aufgelistet, wie man den Wurm manuell vom System löschen kann.