692892

VBS/Hard-A

16.05.2001 | 14:04 Uhr |

Genaue Bezeichnung

VBS/Hard-A

Aliasnamen

VBS/Hard@MM

Typ

Wurm

Erstes Auftreten

12.05.01

Verbreitung

wenig

Wirkung/Schaden

Startet man den Mailanhang, so erzeugt der Wurm mehrere Dateien, darunter eine HTML-Datei, die wie eine Informationsseite von Symantec aussieht. Dort wird ein nicht existenter Wurm namens "VBS.AmericanHistoryX_II@mm" beschrieben. Außerdem erzeugt der Wurm die VB Skript Datei www.symantec_send.vbs im Root-Verzeichnis von C und ändert den Registry Key HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Dadurch startet die VBS-Datei beim nächsten Windowsstart. Der Wurm versendet sich über das Adressverzeichnis von Outlook Express an alle darin enthaltenen Adressen. Am 24 November eines Jahres gibt der Wurm zudem eine Nachricht auf dem Bildschirm aus: "Some shocking news. Don't look surprised! It is only a warning about your stupidity. Take care!" Ganz unrecht hat der Wurmprogrammierer damit wohl nicht. Weiteren Schaden richtet der Wurm nicht an.

Infektionsweg

Er verbreitet sich über Outlook Express und kommt als VBS-Attachement per Mail.

Besonderheiten

Die Mail gibt vor, von warning@symantec.com zu stammen. Das Subject ist ausgesprochen raffiniert: "FW: Symantec Anti-Virus Warning". Im Body der Mail wird vor einem sich schnell ausbreitenden und sehr gefährlichen Wurm gewarnt. Weiter heißt es, Symantec habe diesen Schädling am 4. April bemerkt. Besonders hinterhältig: Im Attachement "www.symantec.com.vbs" stünde angeblich eine ausführliche Beschreibung des Wurms und Hinweise, wie man sich vor ihm schützen könne.

Was Sie tun können

Sophos zufolge gingen schon mehrere Hinweise auf den Wurm in the wild ein. Aktuelle Virenscanner sollten den Wurm erkennen

Weitere Infos

www.sophos.com

0 Kommentare zu diesem Artikel
692892