Wurm warnt vor Atomkrieg
Ein Mail-Wurm verbreitet Falschmeldungen über den angeblichen Tod von George W. Bush sowie von Wladimir Putin und warnt vor einem angeblich bereits ausgebrochenen Atomkrieg. Der Wurm beendet Sicherheitsprogramme auf dem PC.
Der Antivirus-Hersteller McAfee warnt vor einem Mail-Wurm namens "W32/Nuwar", der mit Falschmeldungen über den Tod des amerikanischen und russischen Präsidenten sowie den Ausbruch eines Atomkriegs die Aufmerksamkeit potentieller Opfer erregen soll.
Der Wurm W32/Nuwar@MM versendet Mails mit geälschten Absenderangaben und einem Betreff wie "White house news!", "URG", "ATTN TO EVERYBODY!", "READ AND RESEND ASAP!", "Incredible news!", "NEWS!", "ATTN" oder "URGENT NEWS!". Der Mail-Text besteht lediglich aus einer Zeile, zum Beispiel:
- 3rd Glogal War Just Started!!! Read more in file!
- Putin and Bush starts NUCLEAR WAR! Check the file!
- GLOBAL NUCLEAR WAR JUST STARTED! News in file.
- Nuclear War in Russia! Read news in file!
- Nuclear WAR in USA! Read attached file!
- President Putin dead! Read more in attached file!
- President Bush DEAD! Read attached file!
- Putin and Bush starts NUCLEAR WAR! Check the file!
- GLOBAL NUCLEAR WAR JUST STARTED! News in file.
- Nuclear War in Russia! Read news in file!
- Nuclear WAR in USA! Read attached file!
- President Putin dead! Read more in attached file!
- President Bush DEAD! Read attached file!
Der Anhang enthält den Wurm in einer 15 KB großen Datei mit einem Namen wie etwa "about me.exe", "latest news.exe", "read me.exe" oder "war.exe". Wird der Wurm ausgeführt, beendet er eine Reihe von Prozessen, die zu Sicherheitsprogrammen wie Virenscannern oder Desktop Firewalls gehören und deaktiviert die Firewall von Windows XP. Er kopiert sich unter verschiedenen Dateinamen in das System-Verzeichnis von Windows, beispielsweise als "wservice.exe" und trägt diese Datei in die Registry ein, damit sie bei jedem Windows-Start geladen wird:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
UpdateService = C:\WINDOWS\system32\wservice.exe
UpdateService = C:\WINDOWS\system32\wservice.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
UpdateService = C:\WINDOWS\system32\wservice.exe
UpdateService = C:\WINDOWS\system32\wservice.exe
Außerdem legt er im aktuellen Verzeichnis noch einen weiteren Schädling mit zufälligem Dateinamen an, der bei Mcafee als Downloader-ARL bekannt ist. Dieser lädt weitere Malware aus dem Internet herunter. Der Nuwar-Wurm versendet sich selbst an Mail-Adressen, die er auf dem infizierten PC findet.
Die Verbreitung dieses Wurms ist bislang eher gering, auf Grund der in den Wurm-Mails angesprochenen Themen könnten Anwender jedoch der Versuchung nachgeben den Anhang dieser Mails zu öffnen. Bei Sophos wird der Wurm als "W32/Dref-N" bezeichnet.
