686319

Disabled

Bezeichnung

VBS/Disabled

Typ

Wurm

Erstes Auftreten

15.9.2000

Verbreitung

selten

Wirkung/Schaden

Der Wurm versucht nach Abschluss seiner Verbreitung die Festplatte zu löschen. Das einzige, was ihn davon abhalten kann, ist eine Datei 13a0.txt im Root-Verzeichnis von C:/. Findet er diese Datei, so beginnt er nicht zu löschen, sondern zeigt die Meldung VIRUS 13à0 DISABLED.

Infektionsweg

VBS/Disabled erscheint als Mails-Attachment "Update.vbs". Wird diese Datei aufgerufen, so startet der Wurm seine Arbeit. Zuerst sucht er eine Datei mit dem Namen C:/Testfile.txt. Falls diese nicht existiert, startet VBS/Disabled den Internet Explorer und surft auf die Microsoft-Seite http://www.microsoft.com/windows/ie/download/ie55.htm.Dann speichert sich der Wurm selber auf dem befallenen Rechner als Update.vbs und trägt sich in die Registry HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ein, so dass er beim nächsten Systemstart ausgeführt wird.Dann macht sich der Wurm in allen Dateien des Typs .wab, .txt, .htm und .html auf die Suche nach Mailadressen. Alle gefundenen Adressen speichert er in der Datei C:/Testfile.txt, die er zu diesem Zweck erschafft. Dann verschickt er sich mittels Outlook in Mails an alle Adressen in der Testfile-Datei und beginnt die Festplatte zu löschen.

Besonderheiten

Der komplette Text der Mail, die den Wurm enthält, ist:"La toute nouvelle version de Microsoft Internet Explorer offre de nombreux avantages aux utilisateurs et aux développeurs. Vous apprécierez en particulier la nouvelle fonction d'aperçu avant impression qui permet d'afficher les pages telles qu'elles se présenteront à l'impression. Grâce à la prise en charge améliorée des langages DHTML et CSS, les concepteurs de sites Web seront en outre plus à même de contrôler l'apparence des pages et le fonctionnement du navigateur. Téléchargez tous ces éléments aujourd'hui à partir des mises a jour de produits"

Was Sie tun können

Deaktivieren Sie den Scripting Host. Benutzen Sie aktuelle Virensoftware, um VBS/Disabled zu erkennen und zu entfernen. Löschen Sie die Datei "Update.vbs" und entfernen Sie den entsprechenden Eintrag aus der Registry unterHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\

Weitere Infos

McAfee

0 Kommentare zu diesem Artikel
686319