697854

Newpic

21.08.2001 | 10:42 Uhr |

Das renommierte Antivirenlabor Kaspersky Labs warnt vor einem neuen Wurm namens "Newpic", der den MSN Messenger zur Verbreitung nutzt. Der Schädling ist seit 8. August bekannt, die ersten Infektionen wurden jedoch erst am vergangenen Wochenende bekannt.

Genaue Bezeichnung

Newpic

Aliasnamen

W32/Choke.b.worm, I-Worm.Newpic, TROJ_NEWPIC.A, W32.Annoying.Worm, Win32.Annoying, Worm.JerryMsg.A.

Typ

Wurm

Erstes Auftreten

8. August 2001

Verbreitung

gering, ansteigend

Wirkung/Schaden

Nach dem Start der Datei erscheint auf dem Bildschirm eine Message Box mit einer gefälschten Fehlermeldung (siehe oberes Foto). Der Wurm träg sich anschließend in die Registry ein, so dass er nach jedem Neustart des Rechners ausgeführt wird: HKLM\Software\Microsoft\Windows\CurrentVersion\ Run\MSN Messenger="%WormPath%\PIC1324.exe. Außerdem erzeugt der Wurm eine Datei C:\Messenger1324\Brain\1Read Me.txt mit folgendem Text: I come in piece. My name is Jerry. The purpose of me is to spread. I'm not annoying, nor dangerous. How to remove me: 1) Click Start, select Run. The Run dialog box pops up. 2) Type: msconfig The System Configuration Utility pops up. 3) Click the Startup tab at the top. In the list, find MsgSprd, Messenger, or pic1324, uncheck, press Apply, then press Ok. 4) Restart your computer Or press Ctrl - Alt - Del, select MsgSprd from the list, then press End Task. You may freely delete the files or the 'C:\Messenger1324' directory. Der Wurm versendet sich an Rechner, die mit dem infizierten PC via MSN Messenger komminizieren. Der Wurm durchsucht alle eingehenden Messenger-Nachrichten auf bestimmte Schlüsselwörter, die er mit einer bestimmten Nachricht beantwortet (siehe unteres Foto). Um einen MSN-Messenger-Benutzer zur Eingabe eines dieser Schlüsselwörter wie "yes" zu veranlassen, stellt der Wurm gelegentlich folgende Frage "hey, want me to send my new pic? i took it yesterday". Antwortet der Gesprächspartner mit "Yes", versendet sich der Wurm. Für die USA und Europa sieht Eugene Kaspersky, der Leiter Anti-Virus Research bei KasperskyLabs, gute Aussichten auf eine Verbreitung des Wurms.

Infektionsweg

Bei "Newpic" alias W32/Choke.b.worm handelt es sich um eine in Visual Basic geschriebene .exe-Datei von ca. 50 Kilobyte Größe; die Datei trägt den Namen PIC1324.EXE. Die Datei wird als Attachment mit dem MSN Messenger verbreitet. Wird der Wurm auf einem PC ausgeführt, auf dem der MSN Messenger nicht installiert ist, wird der Wurm zwar installiert, kann sich aber nicht verbreiten.

Besonderheiten

Was Sie tun können

Aktuelle Virenscanner sollten den Wurm erkennen.

Weitere Infos

McAfee

0 Kommentare zu diesem Artikel
697854