247595

"Finance"-Wurm legt sofort los

14.12.2000 | 11:33 Uhr |

Der Wurm VBS/Forgotten.A@mm kann sich verbreiten, ohne dass ein Anhang geöffnet werden muss. Anwender sind bereits gefährdet, wenn sie die Mail öffnen, um sie zu lesen.

In der Tradition so bekannter Übeltäter wir dem Bubbleboy oder dem Kakworm steht VBS/Forgotten.A@mm, vor dem Antiviren-Hersteller Panda jetzt warnt. Da der Code des Wurms im HTML-Format eingebettet ist, aktiviert er sich, wenn die infizierte Mail geöffnet wird. Diese enthält den Betreff "FINANCE".

Eine Infektion gelingt dem Wurm allerdings nur dann, wenn Active X unter Outlook aktiviert ist. In ihrem englischen Text fordert die infektiöse Mail daher dazu auf, Active X zu aktivieren.

Hat sich der Wurm erfolgreich auf dem Rechner eingenistet, versucht er festzustellen, über welche Wege er sich weiter verbreiten kann. Hierzu nutzt er sowohl die Adressen unter Outlook als auch IRC-Kanäle über die Anwendungen "Mirc" und "Pirch".

Bei jedem Neustart erkennt der Wurm, über welche Wege er sich bereits verbreitet hat und versucht daraufhin, einen weiteren Angriff über einen anderen Kanal zu starten. Einziger Zweck des Wurms ist eine möglichst schnelle Verbreitung, bislang ist kein Code enthalten, der Schäden am Rechner vornimmt.

Bei einer Infektion kopiert sich der Wurm unter "VB1.COM.VBS" in den Windows\System-Ordner. Des weiteren fügt er den Eintrag

"vb1wscript.exe C:\WINDOWS\SYSTEM\vb1.com.vbs%"

in den Registry-Schlüssel

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" ein.

Um eine Infektion zu vermeiden sollten Sie Active X unter Outlook deaktivieren und auch nicht aktivieren, wenn Sie von der Mail dazu aufgefordert werden. (PC-WELT, 14.12.2000, mp)

www.pandasoftware.com: Weitere Infos zum VBS/Forgotten.A@mm-Wurm

PC-WELT Report: Gratis-Virenscanner im Test

PC-WELT Service: Viren & Co.

Wurm mit mehr Komfort als Software (PC-WELT Online, 15.11.2000)

Spanischer Wurm mit Weihnachtsgruß (PC-WELT Online, 12.11.2000)

Wurm aktualisiert sich selbst (PC-WELT Online, 31.10.2000)

0 Kommentare zu diesem Artikel
247595