247593

Details zu South_Park-Wurm

Panda Software hat neue Details zum Mail-Wurm W32/South_Park (alias W32/Alter) bekannt gegeben. Der Schädling ist dem Antivirensoftware-Hersteller zufolge als "hohes Risiko" einzustufen, da er sich extrem schnell und auf drei verschiedene Wege verbreitet.

Der Antivirensoftware-Hersteller Panda hat neue Details zum Mail-Wurm W32/South_Park (alias W32/Alter oder auch W32/Billshot) bekannt gegeben. Der Wurm sei in Visual Basic 5.0 programmiert. Daher ist er nur für Rechner eine Gefahr, auf denen die Datei MSVBVM50.DLL installiert ist. Wegen der Verbreitung von Visual-Basic-Programmen ist dies allerdings keine starke Einschränkung.

Nach Informationen der PC-WELT verbreitet sich der Wurm ähnlich wie Melissa über MAPI (Messaging API). Im Virencode bezeichnet sich der Autor als "Little Jim" und sein Werk als "Susi" ("SUSI v1.3 made by ::))LITTLE JiM))::"). Zusätzlich als Text enthalten ist unter anderem der bei Microsoft-Hassern beliebte Slogan "microsofttsucks".

Der Schädling ist nach Ansicht von Panda als "hohes Risiko" einzustufen, da er sich extrem schnell und auf drei verschiedenen Wegen verbreite: In Microsofts Mail-Programm Outlook verschickt er sich in Form eines Mail-Attachments, das die Datei "South Park.exe" (in anderen Varianten auch "Billy Shooter.exe" oder "Hit it.exe" genannt) enthält. Die Mail geht an alle Adressbucheinträge seines Opfers und trägt den Betreff "Servus Alter". Im Text heißt es: "Hier ist das Spiel, das du unbedingt wolltest! ;-)".

Auf dem Laufwerk C legt der Wurm eine Datei namens V.REG an, die wiederum einen Eintrag in der Registrierdatenbank erstellt. Dann verschickt er die Datei "South Park.exe" an alle gemappten Laufwerke - inklusive Laufwerk A.

Nach Recherchen der PC-WELT legt South_Park eine Datei winguard.exe im Windows-System-Verzeichnis an und ergänzt in der Registry den an "Run"-Schluessel zum automatischen Start dieser Datei. Der Wurm (siehe Glossar) kopiert sich auch auf Laufwerk A: als "South Park.Exe", wo er eine AUTOEXEC.BAT und eine AUTORUN.INF anlegt, um sich weiter zu vermehren. Ziel ist offensichtlich, von einer im Laufwerk vergessenen Diskette beim nächsten Hochfahren des Rechners zu starten.

Dieser Trick funktioniert jedoch nicht, da zu diesem Zeitpunkt noch keine langen Dateinamen bzw. Dateinamen mit Leerzeichen benutzt werden können. Und die bei CD-ROM-Laufwerken übliche Autostart-Funktion dürfte bei Diskettenlaufwerken grundsätzlich deaktiviert sein. Daher besteht in dieser Version kaum Gefahr.

Trotzdem ist es ratsam, bei South_Park-Infektionen vorsichtshalber auch Disketten mit einem Antivirenprogramm zu überprüfen.

Seine Schadensfunktion besteht darin, dass SouthPark die Datei "swapfile.vxd" anlegt, die so lange anwächst, bis die gesamte Festplatte voll ist. (PC-WELT, 12.05.2000, Update 22 Uhr 15, sp/ am)

Antivirentests und mehr Informationen über Viren und Würmer sowie über den derzeit aktuellen Loveletter-Virus finden Sie unter

http://www.pcwelt.de/content/aufgedeckt

Servus Alter!-Wurm (PC-WELT Online, 11.5.2000)

0 Kommentare zu diesem Artikel
247593