110444

Neuer Floppy-Wurm entdeckt

13.12.2007 | 15:16 Uhr |

Die meisten heutigen Rechner haben nicht einmal mehr ein Diskettenlaufwerk, jüngere Anwender kennen Disketten kaum noch aus eigener Erfahrung. Und doch hat sich offenbar ein Malware-Programmierer vorgenommen neue Wege zu finden, wie sich ein Wurm mit Hilfe von Disketten verbreiten kann.

Diesen Eindruck hat offenbar zumindest Rodney Andres von McAfee gewonnen, als er im Analyselabor einen neu entdeckten Schädling untersuchte.

Dieser ist in Visual Basic programmiert und hat den Namen "W32/Heiku" erhalten. Er verhält sich in vielerlei Hinweis wie andere Wald-und-Wiesen-Malware auch: er legt diverse Kopien seiner selbst auf dem Rechner an, trägt diese zwecks Autostart in die Registry ein, hat eine Schadenroutine (löscht Dateien und Verzeichnisse) und ärgert Anwender dadurch, dass er die Startseite des IE verändert und Porno-Sites in dessen Favoritenliste einträgt.

Erst auf den zweiten Blick fällt dem geübten Auge des Malware-Forschers auf, dass der Wurm auch versucht sich auf Disketten zu kopieren. Da der Schädling von dort nicht weiter käme, solange kein Benutzer die Datei startet, hat sich sein Programmierer offenbar mit den Möglichkeiten befasst, die der Active Desktop von Windows bietet,

Der Wurm legt neben einer Kopie seiner selbst noch die Dateien Folder.htt und Desktop.ini auf der Diskette an. Erstere enthält verschlüsselten VB-Script-Code, der schlicht die Kopie des Wurms aufrufen soll. Die Idee ist einfach: sobald ein Benutzer den Inhalt der Diskette im Windows Explorer anschaut, wird der Wurm gestartet - sofern Active Desktop aktiv ist.

Die Verbreitung dieses Schädlings ist gering und angesichts der abnehmenden Bedeutung von Floppy-Disks wird dich daran wohl auch in Zukunft nicht mehr viel ändern.

0 Kommentare zu diesem Artikel
110444