696964

W32/Parrot-A

31.07.2001 | 10:20 Uhr |

Der Wurm versendet sich an die Einträge im MS Outlook-Adressbuch. Außerdem versucht er, sich über mIRC-Verbindungen zu verbreiten. Beim Starten von Windows spielt er eine MP3-Datei und startet eine Message-Box mit verunglimpfenden Texten.

Genaue Bezeichnung

W32/Parrot-A

Aliasnamen

W32/Crackly@MM, I-Worm.Parrot, W32/Parrot@MM

Typ

Win32-Wurm mit integriertem Virus

Erstes Auftreten

26.07.2001

Verbreitung

gering

Wirkung/Schaden

Klickt man auf den Mailanhang, so versendet sich der Wurm an die Einträge im Adressbuch von MS Outlook. Mit einem mIRC-Skript (Internet Relay Chat) versucht der Wurm zudem, die Datei C:\parrot.scr an andere mIRC-Nutzer zu versenden.Der im Wurm integrierte Virus benennt Dateien im Windows-Verzeichnis um. Außerdem verändert er Dateien mit der Endung .EXE in .PRT (zum Beispiel calc.exe in calc.prt) und kopiert sich zum ursprünglichen Dateinamen hinzu.Ferner spielt der Virus eine mitgebrachte MP3-Datei ab und startet eine VBS-Datei. Letztere zeigt eine Message Box auf dem Bildschirm an, in der der Antiviren-Forscher Graham Cluley verunglimpft wird (Text siehe Foto).Der Virus ändert außerdem zwei Registry-Einträge:HKLM\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceDadurch werden bei jedem Windows-Start die Audiodatei und das VBS-Skript gestartet. Außerdem lässt sich Windows nicht mehr korrekt beenden.

Infektionsweg

Der Wurm wird mit einer Mail verbreitet, deren Betreffzeile "Parrot screensaver" lautet. Im Textkörper steht "Hehe hey, look at this screensaver :)." Im Anhang der Mail befindet sich die Datei parrot.scr.

Besonderheiten

Was Sie tun können

Aktuelle Virenscanner erkennen den Wurm.

Weitere Infos

Sophos

0 Kommentare zu diesem Artikel
696964