W32.Surnova (Supova)

Der Surnova-Wurm (auch als Supova bekannt) ist nicht der erste Schädling, der sich über das KaZaA-Netz verbreitet. Die Ansteckung erfolgt, wenn ein KaZaA-Benutzer von einem infizierten PC eine Wurm-Datei herunterlädt und diese ausführt.

Der Wurm kopiert sich zuerst mit einem der folgenden Dateinamen in den Windows-Ordner (z.B. in C:\Windows\):

Alles-ist-vorbei.exe

Desktop-shooting.exe

Hello-Kitty.exe

BigMac.exe

Cheese-Burger.exe

Blaargh.exe

Diese Datei ist gemäss Beschreibung von NAI mit einem Comic-ähnlichen Kätzchen-Symbol versehen.

Damit die Wurm-Datei bei jedem Windows-Start automatisch geladen wird, trägt sie der Wurm in diesen Registry-Schlüssel ein:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\

"Supernova"

Beim ersten Start zeigt der Wurm diese gefälschte Fehlermeldung an:

"Application attempted to read memory at 0xFFFFFFFFh, Terminating application"

Nun schaut er im folgenden Registry-Schlüssel nach, welcher Ordner ins KaZaA-Netzwerk freigegeben ist:

HKEY_LOCAL_MACHINE\Software\KaZaA\LocalContent

Wird keiner gefunden, verwendet der Schädling den Unterordner "Media", der sich im Windows-Ordner befindet (z.B. C:\Windows\Media\). Dort oder im gefundenen, bereits freigegebenen Ordner erstellt er Kopien von sich selbst, alle mit verlockenden Dateinamen, zum Beispiel:

"Windows XP key generator.exe"

"Windows XP serial generator.exe"

"Key generator for all windows XP versions.exe"

"Warcraft 3 ONLINE key generator.exe"

Die Variante B (Surnova.B) erstellt 38 verschiedene Dateien. Eine komplette Liste der vom Wurm verwendeten Dateinamen finden Sie zum Beispiel bei Sophos [1]. Die Variante D (Surnova.D) verwendet bereits über siebzig Dateinamen [2].

Nun braucht der Wurm bloss zu warten, bis sich andere KaZaA-Benutzer die Dateien mit den verlockend klingenden Namen an Bord holen und diese ausführen.

Surnova versucht sich zusätzlich an die Kontakte zu verschicken, die er auf dem infizierten PC im MSN Messenger findet. Die von ihm verschickten Mitteilungen können so aussehen:

"Hehe, check this out :-)" oder

"Funny, check it out (h)" oder

"LOL!! See this :D" oder

"LOL!! Check this out :)" oder

"Hehe, this is fun :-)"

Der Wurm erstellt im Windows-Ordner zudem eine Text-Datei, die den folgenden oder einen ähnlichen Text enthält (je nach Variante):

W32.Supernova - Ban religion

---------------------------------------------

Religion = War

Religion = Based on fairytales

Wars based on fairytales?

Ban religion, welcome to the truth

---------------------------------------------

Nun zur Beseitigung des Surnova-Wurms:

Aktualisieren Sie Ihren Virenscanner, damit er den Wurm erkennen kann. Scannen Sie Ihre Festplatte und entfernen Sie alle Dateien, die als Surnova (oder Supova) erkannt werden. Starten Sie via Startmenü/Ausführen und dem Eintippen von REGEDIT den Registry-Editor.

Seien Sie nun bitte vorsichtig beim Editieren der Registry!

Klicken Sie sich zu diesem Zweig durch und klicken Sie ihn an, damit Sie in der rechten Fensterhälfte seine Einträge sehen:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Klicken Sie den Eintrag "Supernova" mit der rechten Maustaste an und wählen Sie im Kontextmenü den Befehl "Löschen".

Symantec berichtet in seiner Beschreibung [3], dass es dem Wurm oft nicht gelänge, den Registry-Eintrag zu erstellen. Es ist also theoretisch möglich, dass Sie den Eintrag dort nicht vorfinden.

Weitere Beschreibungen finden Sie zum Beispiel auch bei NAI [4] oder in den Virenbibliotheken anderer Antivirus-Hersteller. Die NAI-Beschreibung enthält Abbildungen der Fehlermeldung und des "Kitty"-Icons.