27138

Papagei-Wurm beleidigt Antiviren-Forscher

31.07.2001 | 10:23 Uhr |

Der Wurm W32/Parrot-A breitet sich derzeit im Internet aus. Er verbreitet sich über das Adressbuch von Microsoft Outlook. Beim Start von Windows zeigt der Wurm eine Message-Box an und spielt eine MP3-Datei ab.

Der Wurm W32/Parrot-A breitet sich derzeit im Internet aus. Parrot-A ist ein Win32-Wurm mit Vireneigenschaften. Alias-Namen für Parrot-A sind W32/Crackly@MM, I-Worm.Parrot und W32/Parrot@MM.

Der Wurm wird mit einer Mail verbreitet, deren Betreffzeile "Parrot screensaver" lautet. Im Textkörper steht "Hehe hey, look at this screensaver :)." Im Anhang der Mail befindet sich die Datei parrot.scr.

Klickt man auf den Mailanhang, so versendet sich der Wurm an die Einträge im Adressbuch von MS Outlook. Mit einem mIRC-Skript (Internet Relay Chat) versucht der Wurm zudem, die Datei C:\parrot.scr an andere mIRC-Nutzer zu versenden. Allerdings soll dies McAfee zufolge nicht funktionieren, da die Pfadangabe falsch ist.

Der im Wurm integrierte Virus benennt des weiteren Dateien im Windows-Verzeichnis um. Außerdem verändert er Dateien mit der Endung .EXE in .PRT (zum Beispiel calc.exe in calc.prt) und kopiert sich zum ursprünglichen Dateinamen hinzu.

Ferner spielt der Virus eine mitgebrachte Audiodatei ab und startet eine VBS-Datei. Letztere zeigt eine Message Box auf dem Bildschirm an, in der der Antiviren-Forscher Graham Cluley verunglimpft wird (Text siehe Foto).

Der Virus ändert außerdem zwei Registry-Einträge:HKLM\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

Dadurch werden bei jedem Windows-Start die Audiodatei und das VBS-Skript gestartet. Außerdem lässt sich Windows nicht mehr korrekt beenden.

Dem Antiviren-Unternehmen Sophos zufolge gibt es bereits mehrere Berichte über diesen Wurm "in the wild".

Vorsicht: Neue Attacke durch "Code Red" (PC-WELT Online, 30.07.2001)

Neuer Wurm zieht seine Spur um den Globus (24.07.2001)

0 Kommentare zu diesem Artikel
27138