Offenbar ist eine Variante des NAVIDAD-Wurmes wieder unterwegs und infiziert Rechner, die keinen ausreichenden Virenschutz installiert haben.

Betroffene Systeme

• Microsoft Outlook
• Andere MAPI-compliant Email-Clients

Gefahrenpotential
mittel (siehe http://vil.nai.com/vil/virusRemovalInstructions.asp?virus_k=98881)

Beschreibung
Das RUS-CERT hat mehrere Hinweise erhalten, daß die bereits seit November 2000 bekannte Variante EMANUEL des Email-Wurmes NAVIDAD wieder unterwegs ist. Wie an dieser Stelle bereits berichtet, infiziert dieser Wurm, der als Email-Attachment von bereits infizierten Rechnern verschickt wird, nicht ausreichend geschützte Rechnersysteme durch Ausführung des Attachments durch den Benutzer und installiert sich danach im system tray. Der Wurm verursacht offenbar - außer seiner eigenen Weiterverbreitung - intendiert keinen Schaden, ein Bug im Code der Schadroutine verändert die Systemregistry aber so, daß die meisten Programme mit einem .exe Attachment nicht mehr ausgeführt werden können.
Weitere Information finden Sie unter:

• http://vil.nai.com/vil/virusChar.asp?virus_k=98881
• http://vil.nai.com/vil/virusSymptoms.asp?virus_k=98881
• http://vil.nai.com/vil/virusMethodOfInfection.asp?virus_k=98881

Bekannte Varianten
Laut NAI sind folgende Varianten bekannt:

• Emanuel
• Emmanuel
• I-Worm.Navidad
• Navidad
• TROJ_EMMANUEL
• TROJ_NAVIDAD.A
• W32.Navidad
• W32.Navidad.16896
• W32/Navidad-B
• W32/Navidad.e@M
• W32/Navidad.gen@M
• Win32/Navidad.Worm

Gegenmaßnahmen
Der Wurm kann manuell oder automatisch entfernt werden, Hinweise finden Sie unter:

• http://vil.nai.com/vil/virusRemovalInstructions.asp?virus_k=98881
• http://www.uk.sophos.com/virusinfo/analyses/w32navidadb.html

Die Universität Stuttgart besitzt eine Campuslizenz für den McAfee Virenscanner, der in der aktuellen Version diesen Wurm zuverlässig erkennt und entfernt. Näheres hierzu erfahren Sie unter

• http://wb.rus.uni-stuttgart.de/viren/ (Zugriff nur für Mitglieder der Universität Stuttgart)

Generelle Empfehlung (Wh)

• Führen Sie keinerlei Attachments aus, die sie per Email erhalten haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Mißtrauen des Benutzers.
• Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie automatisierte Update-Dienste in Anpruch, wenn möglich.

Weitere Information zu diesem Thema

• http://www.symantec.com/avcenter/venc/data/w32.navidad.html
• http://vil.nai.com/vil/virusSummary.asp?virus_k=98881
• http://www.sophos.com/virusinfo/analyses/w32navidad.html

Weitere Artikel zu diesem Thema:

• [MS/Outlook] Neuer 'Weihnachts'-Emailwurm breitet sich in Amerika aus (UPDATE) (2000-11-13)
  Ein neuer Emailwurm namens 'Navidad' (span. Weihnachten) breitet sich in Süd-, Mittel- und bereits auch in Nordamerika aus. Erste Sichtungen wurden nun auch aus Deutschland gemeldet.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/