News 05.04.2001, 14:45 Uhr

VBS.Staple (VBS.Injustice)

Bei diesem VBS-Wurm wird eine dem Loveletter-Wurm ähnliche Technik dazu missbraucht, politische Botschaften zu verbreiten.
Hier wird die Loveletter-ähnliche Wurm-Technik dazu missbraucht, politische Botschaften zu verbreiten. Er trifft in einer Mail mit diesen Merkmalen ein:
Betreff: RE:Injustice
Mail-Text: "Dear <Name>, Did you send the attached message, I was not expecting this from you !"
Name der Wurm-Beilage: injustice.TXT.vbs
Wenn der Empfänger den Wurm ausgeführt (doppelklickt), kopiert sich der Schädling unter dem Dateinamen "injustice.TXT.vbs" in den Windows System-Ordner. Er verschickt sich dann mit den oben genannten Merkmalen sowohl an 50 zufällig ausgewählte Adressen im Outlook Adressbuch als auch an 25 hauptsächlich israelische Mail-Adressen.
Der Wurm setzt nach dem erfolgreichen Mail-Versand einen Eintrag in die Windows Registry, damit die Mails vom selben PC aus nicht noch einmal verschickt werden.
Der betroffene Registry-Schlüssel: HKEY_CURRENT_USER\Software\Microsoft\WAB
Der dort drin eingefügte Wert: &malead,1, REG_DWORD
Nun öffnet der Staple-Wurm sechs Browser-Fenster mit verschiedenen Webseiten zum genannten Thema. Am Schluss zeigt der Wurm eine grosse Dialog-Box an, die Lage im nahen Osten betreffend. Der Text in dieser Box beginnt mit diesen Zeilen:
"PLEASE ACCEPT MY APOLOGIES FOR DISTURBING YOU.
Remember that one day YOU may be in this situation.
We need every possible help.
Israeli soldiers killed in cold blood 12 year old Palestinian child
Mohammad Al-Durra, as his father tried to protect him in vain with
his own body. As a result of the indiscriminate and excessive use of
machine gun fire by Israeli soldiers, journalists and bystanders
watched helplessly as the child was savagely murdered."
Öffnen Sie keine Mail-Beilagen, die Sie nicht erwartet oder angefordert haben. Sollte sich der Wurm bereits eingenistet haben, scannen Sie Ihren PC mit einem frisch aktualisierten Antivirus-Programm und löschen Sie alle Dateien, die jenes als "infiziert" meldet. Falls Sie mit dem Editieren der Registry vertraut sind, gehen Sie auch zum oben erwähnten Registry-Schlüssel und entfernen den vom Wurm eingefügten Wert.
Weitere Informationen und Screenshots zu diesem Wurm finden Sie beispielsweise bei F-Secure [1], Sophos [2] oder Computer Associates [3].


Kommentare

Es sind keine Kommentare vorhanden.