715732

W32/Surnova-B

31.07.2002 | 14:24 Uhr |

Anhänger des Filesharings haben es in diesen Tagen nicht leicht. Ständig taucht neue Malware auf, die sich über die Peer-to-Peer-Verbindungen verbreitet. Der neueste Vertreter dieser Spezies heißt W32/Surnova-B und soll dem Antiviren-Spezialisten Sophos zufolge das Kazaa-Netzwerk heimsuchen.

Genaue Bezeichnung

W32/Surnova-B

Aliasnamen

Worm.P2P.Surnova

Typ

Wurm

Erstes Auftreten

30.7.2002

Verbreitung

Wirkung/Schaden

Die Malware erzeugt eine Textdatei im Windows-Ordner, deren Name aus zufällig generierten Ziffern besteht. Die Datei besitzt folgenden Inhalt: "W32.Supernova - Ban religion Patch the leaks or the ship will sink". Sophos soll bereits mehrere Meldungen über diesen Wurm "in the wild" erhalten haben. Der Wurm kopiert sich unter einem der folgenden Namen in den Windows-Ordner: "Alles-ist-vorbei.exe", "Desktop-shooting.exe", "Hello-Kitty.exe", "BigMac.exe", "Cheese-Burger.exe", "Blaargh.exe". Außerdem nimmt der Wurm diesen Eintrag in der Windows-Registrierdatenbank vor: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Supernova . Dadurch wird der Wurm bei jedem Neustart von Windows mitgestartet. Wenn Sie den Wurm das erste Mal starten, erscheint diese Meldung: "Application attempted to read memory at 0xFFFFFFFFh Terminating application". Der Wurm sucht nach diesem HKLM\Software\KaZaA\LocalContent-Eintrag in der Registry. Dabei handelt es sich um den Ordner, der im Kazaa-Netzwerk zum Austausch von Dateien freigegeben ist. Alternativ nutzt er folgenden Ordner: C:\Windows\Media. Dorthin kopiert sich der virtuelle Schädling 38 Mal unter verschiedenen, verheißungsvoll klingenden Namen. Lädt sich ein anderer Anwender eine dieser Dateien auf seinen Rechner, infiziert er seinen PC mit dem Wurm. Alternativ kann sich der Schädling auch über den MSN Instant Messenger verbreiten. W32/Surnova-B versucht sich hierzu an die Kontaktadressen im Messenger-Adressbuch zu versenden. Der Wurm kommt dann mit folgenden Meldungen "Hehe, check this out :-)", "Funny, check it out (h)", "LOL!! See this :D", "LOL!! Check this out :)", "Hehe, this is fun :-)" zu den Adressaten.

Infektionsweg

Über das Kazaa-Netzwerk und über den Windows Messenger.

Besonderheiten

Was Sie tun können

Virenscanner aktualisieren

Weitere Infos

Kaspersky und Sophos

0 Kommentare zu diesem Artikel
715732