699688

W32/Vote-A

25.09.2001 | 11:14 Uhr |

Seit dem 25. September kursiert im Internet ein neuer Internet-Wurm namens W32/Vote-A. Der Wurm macht sich die Terroranschläge in den USA zunutze und wirbt mit einem Friedensaufruf zwischen den USA und dem Islam. Allerdings ist der Schädling überhaupt nicht friedlich und kann Windows-Rechner erheblich schädigen. Außerdem verursacht er eine Mail-Lawine.

Genaue Bezeichnung

W32/Vote-A

Aliasnamen

Typ

Wurm

Erstes Auftreten

25.09.2001

Verbreitung

gering

Wirkung/Schaden

Klickt der Benutzer auf WTC.EXE, so verschickt sich der Wurm an die Adress-Einträge von Microsoft Outlook. Dadurch kann der Wurm eine Mail-Lawine verursachen, die den Internet-Traffic erheblich belastet. Außerdem legt WTC.EXE das Visual Basic Skript mixdalal.vbs in c:\windows ab und führt es aus. Das Skript durchsucht alle Festplatten und Netzlaufwerke nach Web-Seiten mit den Endungen HTM und HTML und überschreibt deren Inhalt mit folgender Zeile "AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You". Der Wurm richtet http://us.f1.yahoofs.com/ als neue Startseite in Ihrem Browser ein und versucht, die Datei TimeUpdate.exe herunterzuladen. Die Datei enthält den Trojaner Troj/Barrio, mit dem sich Passwörter stehlen lassen. Um sich vor Antivirus-Software zu schützen, löscht der Wurm die Verzeichnisse einer Vielzahl von Antiviren-Programmen. Der Wurm legt zudem ein weiteres VBS-Skript zacker.vbs in C:\windows\system ab und trägt dieses im Registry Key ein: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Norton.Thar = C:\windows\system\zacker.vbs. Danach wird das Skript bei jedem Windows-Neustart gestartet. Zacker.vbs versucht, alle Dateien im Windows-Verzeichnis zu löschen. Außerdem hängt es die Zeile "echo y | format C:" an die autoexec.bat an. Nach dem nächsten Reboot soll dies zum Formatieren von C: führen. Nach diesen Einträgen öffnet das Skript eine Message-Box mit folgendem Text "I promiss We WiLL Rule The World Again...By The Way,You Are Captured By ZaCker !!!" und versucht Windows zu beenden.

Infektionsweg

W32/Vote-A verbreitet sich als Mail-Anhang. Die Betreffzeile der Mail lautet "Fwd:Peace BeTweeN AmeriCa And IsLaM !" Der Textkörper heißt: "Hi iS iT A waR Against AmeriCa Or IsLaM !? Let's Vote To Live in Peace!". Der schädliche Mailanhang trägt den Namen WTC.EXE.

Besonderheiten

Was Sie tun können

Benutzen Sie Virenscanner mit den neuesten Signaturen. Durchsuchen Sie alle .HTM und .HTML-Dateien nach dem hinzugefügten Text und stellen Sie diese gegebenenfalls mit einem Backup dieser Dateien wieder her. Öffnen Sie die Autoexec.bat mit einem Editor und entfernen Sie den Eintrag des Wurms. W32/Vote-A scheint vor allem im englischsprachigen Raum zu kursieren. Derzeit ist seine Verbreitung jedoch noch gering. Da er sich anders als der kürzlich aufgetretene Nimda-Wurm nur durch einen Doppelklick auf den Mailanhang starten lässt, können Sie sich relativ einfach vor einer Infizierung schützen.

Weitere Infos

Sophos

0 Kommentare zu diesem Artikel
699688