17860

Musik weg: Wurm löscht MP3-Dateien

01.08.2007 | 16:57 Uhr |

Ein Wurm mit dem bezeichnenden Namen "Deletemusic" löscht sämtliche MP3-Dateien, die er auf einem Rechner finden kann. Außerdem kopiert er sich auf die angeschlossenen Laufwerke.

Antivirus-Hersteller berichten über einen Wurm, der MP3-Dateien löscht. Bei Symantec heißt er bezeichnenderweise "W32.Deletemusic" , McAfee nennt ihn "W32/Deletemp3.worm" . Er verbreitet sich dadurch, dass er sich auf angeschlossene Laufwerke mit den Buchstaben E: bis O: kopiert, folglich auch auf mobile Datenträger wie USB-Sticks und MP3-Player. Auf diesem Wege kommt der Wurm allerdings nur sehr langsam voran, sodass seine Verbreitung bislang als sehr gering gilt.

Auf jedes der Laufwerke kopiert sich der Wurm als "\csrss.exe", ferner legt er Kopien seiner selbst in den Dateien "C:\Windows\system32\config\csrss.exe" und "C:\Windows\media\arena.exe" an. Die Datei "C:\WINDOWS\system32ogon.bat" dient zum Aufruf des Wurms beim Start von Windows und wird durch einen Registry-Eintrag geladen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
"Worms" = "C:\WINDOWS\system32ogon.bat"

Ferner legt der Wurm in jedem vorhandenen Laufwerk (E: - O:) eine Datei "\autorun.inf" an. Dadurch wird der Wurm beim Anschließen etwa eines USB-Laufwerks an einen PC gestartet. Die Zielverzeichnisse (zum Beispiel C:\Windows) sind im Wurm-Code fest verankert, sodass er sich unter Windows NT oder 2000 nicht einnisten kann - hier ist Windows meist im Verzeichnis "\WINNT" installiert.

Die eigentliche Schadensroutine des Wurms besteht darin, sämtliche gefundenen MP3-Dateien auf allen angeschlossenen Laufwerken zu löschen. Eine solche Schadensfunktion ist keineswegs neu. Bereits der Wurm Klez-F aus dem Jahr 2002 überschreibt MP3- und andere Dateien. Wer seinen MP3-Player mal eben bei Freunden an den PC anschließt, um Musikdateien zu kopieren, setzt sich der Gefahr aus sich einen Musik-löschenden Wurm einzufangen.

0 Kommentare zu diesem Artikel
17860