News 11.02.2003, 12:30 Uhr

W32.Sahay

Dieser Virus ist aus der Rivalität zwischen den Virenschreibern entstanden und versucht, einen anderen Schädling aus einem System zu entfernen.
Eine der wenigen Frauen in der Virenschreiber-Szene nennt sich "Gigabyte" und hat ihr Domizil vermutlich in Belgien. Gemäss den britischen Antiviren-Experten von Sophos [1] geht der Sahay-Wurm auf ihr Konto.
Wie nicht anders zu erwarten, herrscht auch in der Virenschreiber-Szene nicht immer eitel Sonnenschein. Zwischen den verschiedenen Gruppierungen tobt bisweilen ein heftiger Konkurrenzkampf, der sich dann auf dem Desktop unschuldiger User entlädt.
Der Sahay-Virus von Gigabyte verbreitet sich in einer Mail mit folgenden Kennzeichen:
Betreff: Fw: Sit back and be surprised..
Mail-Text:
"Think of a number between 1 and 52.
Say it out loud, and keep repeating while you read on.
Think of the name of someone you know (of the opposite sex).
Now count which place in the alphabet, the second letter of that name has.
Add that number to the number you were thinking of.
Say the number out loud 3 times.
Now count which place in the alphabet the first letter of your first name has, and substract that number from the one you just had.
Say it out loud 3 times.
Now sit back, watch the attached slide show, and be surprised.."
Name der Wurm-Beilage: MathMagic.scr
Wenn die Mail-Beilage ausgeführt wird...
- kopiert sich Sahay mit dem Dateinamen MathMagic.scr nach C:\
- legt er eine Datei namens Yahasux.vbs im Windows-Ordner ab
- erstellt er eine Datei Winstart.exe im System-Ordner
- trägt er die Winstart.exe-Datei in diesem Registry-Schlüssel ein:
HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
\WinServices\(Default)=%System%\winstart.exe
Nun wird klar, weshalb der Sahay-Wurm wohl als Schlag gegen einen "feindlichen" Virenschreiber gedacht ist: Sahay sucht nämlich auf dem PC nach Merkmalen, die auf eine Infektion mit einem anderen Schädling (nämlich Yaha) hinweist. Ist dies der Fall, versucht Sahay den Yaha-Wurm zu entfernen (meist erfolglos) und zeigt folgendes Dialogfenster an:
Fenster-Titel: Exchange viruses?
"Message: Hi there.. it seems you were infected with Yaha.k. That worm however, written by an idiot who sPeLlS lIkE tHiS, abused my website and got me to receive the complaints. Therefore, I have just disinfected you.Don't worry tho.. as I didn't wanna steal from you, I gave you this virus (Win32.HLLP.YahaSux) in return :)
Greetz,
Gigabyte [Metaphase VX Team]"
Nun beginnt der Sahay-Virus, Dateien im Windows-Ordner und im Ordner C:\Programme\MIRC\Downloads anzustecken, indem er seinen Programmcode an den Anfang von EXE-Dateien stellt. Aufgrund von Programmierfehlern kann dieses Unterfangen einen Absturz verursachen. Zudem wurde offenbar schon beobachtet, dass Sahay die Dateien in C:\Programme\MIRC\Downloads mehrfach ansteckt, sodass diese stetig anwachsen und am Ende die Festplatte füllen. Ausserdem kopiert der Virus den Programmcode der Systemdatei Mprexe.EXE in die von ihm selber erstellten Dateien C:\Programme\MIRC\Download\Yahasux.EXE und C:\Windows\System\Yahasux.EXE.
Anschliessend beginnt sich der Virus in Mails mit den eingangs erwähnten Eigenschaften an alle Adressen des Outlook Adressbuchs zu verbreiten und erzwingt nach 40 Sekunden einen PC-Neustart.
Um den Virus zu entfernen, führen Sie ein Update Ihres Virenscanners durch und scannen Ihre Festplatte nach Viren. Lassen Sie infizierte Dateien löschen und entfernen Sie den Eintrag "winstart.exe" aus diesem Registry-Schlüssel:
HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
\WinServices\(Default)
Informationen über diesen Virus finden Sie beispielsweise bei Computer Associates [2], Network Associates [3] oder Symantec [4].



Kommentare
Es sind keine Kommentare vorhanden.