News 07.06.2001, 18:45 Uhr

W32.MsWorld (Miss World)

Ablenken, infizieren, weiterverbreiten, formatieren: So geht der Wurm vor, der anfangs noch behauptet, Bilder einiger Miss World Kandidatinnen zu zeigen.
Im Moment als wir das schrieben (7. Juni 2001), war noch unklar, ob sich dieser Wurm hierzulande stark vermehren wird. Wegen des hohen Schadenspotentials ist aber auf jeden Fall Vorsicht angezeigt.
Wie so viele andere Viren und Würmer, ködert auch der W32.MissWorld-Wurm die Benutzer mit dem Erfolgsrezept "Sex". Die Mail, über die er sich verbreitet, trägt folgende Merkmale:
Betreff: Miss World
Mail-Text: "Hi, [Name des Empfängers]. Enjoy the latest pictures of Miss World from various Country"
*Name der Beilage: MSWORLD.EXE, MWRLD.EXE oder MissWorld.exe
*Der Name der Wurm-Beilage könnte sich im Laufe der Zeit noch weiter ändern. Das Icon, das die Beilage ziert, sieht wie ein gewöhnliches Symbol für Flash-Movies aus.
Lässt sich der Empfänger von seiner Neugier dazu verleiten, die Datei durch einen Doppelklick zu starten, wird zuerst das Comic-Bild einer Geburtstagstorte angezeigt mit dem Text "I fall more in love with you each day!".
Die drei nächsten Bilder zeigen verfremdete Fotos von Frauen im Bikini, beispielsweise "Miss UK" mit dem Gesicht von Rowan "Mr. Bean" Atkinson. Ein paar Screenshots der Dialogboxen oder Bilder finden Sie unter anderem bei Computer Associates [1] und Sophos [2].
Nun beginnt sich der Wurm nach bekannter Manier via Microsoft Outlook zu verbreiten, indem er sich an bis zu 50 Adressen des Adressbuchs verschickt. Der Schädling greift zu guter Letzt noch zu einem ganz perfiden Mittel: Er fügt ein paar Zeilen in die Startdatei AUTOEXEC.BAT ein. Diese enthalten einen Befehl, der beim nächsten PC-Start die Festplatte formatiert - ohne Rückfrage!
Nach dem Verändern der AUTOEXEC.BAT versucht der Wurm auch noch die zwei Registry-Dateien SYSTEM.DAT und USER.DAT zu löschen. Dies tut er wahrscheinlich, um Fehlermeldungen zu provozieren und damit die Benutzer zu einem verhängnisvollen PC-Neustart zu bewegen. Da Windows diese Dateien aber blockiert, löscht der Wurm "nur" deren Sicherheitskopien (SYSTEM.DA0 und USER.DA0). Der Wurm beendet an dieser Stelle seine "Arbeit" und hinterlässt weder Kopien von sich auf der Festplatte, noch schreibt er Registry-Einträge. Das einzige, das zurückbleibt, ist der drohende Formatier-Befehl in der AUTOEXEC.BAT.
Sollten Sie die Beilage vorschnell geöffnet haben, schalten Sie *nicht* den PC aus und machen Sie bitte auch sonst *keinen* PC-Neustart, bis Sie die Folgen des Wurms los sind. Der Wurm selber ist nämlich jetzt nicht mehr das Problem, sondern die durch ihn veränderte AUTOEXEC.BAT:
- Löschen Sie die Mail und leeren Sie den Mail-Papierkorb
- Gehen Sie zu "Start/Ausführen", tippen Sie dort SYSEDIT ein und drücken ENTER
- Jetzt startet der Systemkonfigurations-Editor
- Löschen (!) Sie dort in der AUTOEXEC.BAT diese Zeile:
format c: /q /autotest
(und allenfalls noch weitere, die mit "format" anfangen)
Wie immer schützt eine gesunde Portion Vorsicht vor solchen Würmern: Lassen Sie den Klick-Finger von angeblichen Flash-Movies, die Sie per Mail erhalten.



Kommentare
Es sind keine Kommentare vorhanden.