Apost (Readme) ist ein einfacher Massen-Mail-Wurm, der mit Visual-Basic entwickelt wurde. Er wurde am 3. September 2001 "in the wild" (im Umlauf) entdeckt. Er findet sich in einer PE EXE Datei mit einer Größe von 24576 Bytes und ist nicht komprimiert.

Wenn der Wurm gestartet wird, dann öffnet sich eine Nachrichtenbox mit einem großen Button und dem Label "Open" mit der Überschrift "Urgent".

Nachdem der Benutzer den "Open"-Button angeklickt hat, erscheint eine unechte Fehlermeldung:

WinZip SelfExtractor: Warning
CRC error: 234#21

Der Wurm überprüft, ob er bereits auf dem System installiert ist. Er sucht nach der Datei README.EXE im \Windows\ -Verzeichnis und ertellt sie, falls er die Datei nicht vorfindet. Er trägt sich ausserdem mit dem Subkey 'macrosoft' in den Autostart-Key des aktuellen Users in die Registry ein:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

Der Subkey 'macrosoft' enthält den Pfad, der auf die Datei des Wurms verweist. Wenn z.B. Windows mit den Standardeinstellungen installiert ist, so erhält der Subkey den Eintrag 'c:\windows\readme.exe'. Dadurch wird der Wurm bei jedem Start von Windows aktiviert.

Darüberhinaus kopiert sich der Wurm in alle erreichbaren Wurzel-Verzeichnisse auf allen Laufwerken mit Schreibzugriff (lokale Laufwerke und Netz-Laufwerke, auf denen der aktuelle Benutzer Schreibrechte besitzt).

Zum Schluss ruft der Wurm Microsofts Outlook auf, ermittelt den User-Namen und das Passwort des aktuellen Benutzers für den Mail-Server und verschickt sich dann selbst an alle Adressen, die er im Adressbuch von Microsofts Outlook vorfindet.

Die infizierte Nachricht lautet:

Betreff: As per your request!
Text: Please find attached file for your review.
I look forward to hear from you again very soon.
Thank you.
Anhang: Readme.exe

Der Wurm findet sich in dem E-MAIL-Anhang als readme.exe und infiziert den Zielrechner wiederum dann, wenn dort ein Benutzer den Anhang öffnet.

Die infizierten Nachrichten werden nach dem Versand gelöscht.

Anleitung zur manuellen Beseitigung des Wurms:

Um den Wurm zu beseitigen genügt es, im Verzeichnis \Windows\ und in allen :Wurzelverzeichnissen, auf denen der aktuelle Benutzer Schreibrechte hat, die Datei README.EXE zu entfernen. Sollte die Datei gesperrt sein, so ist sie im DOS-Modus zu löschen oder bei WIN NT/2000 in eine nichtausführbare Datei umzubenennen (z.B. README.EX_) und nach einem Neustart des Systems ist die umbenannte Datei zu löschen.

[Analysis: Alexey Podrezov, Katrin Tocheva; F-Secure Corp.; September 3, 2001; Deutsche Übersetzung: B. Jacobs für F-PROT in Deutschland]