VBS.Staple (VBS.Injustice)

Hier wird die Loveletter-ähnliche Wurm-Technik dazu missbraucht, politische Botschaften zu verbreiten. Er trifft in einer Mail mit diesen Merkmalen ein:

Betreff: RE:Injustice

Mail-Text: "Dear <Name>, Did you send the attached message, I was not expecting this from you !"

Name der Wurm-Beilage: injustice.TXT.vbs

Wenn der Empfänger den Wurm ausgeführt (doppelklickt), kopiert sich der Schädling unter dem Dateinamen "injustice.TXT.vbs" in den Windows System-Ordner. Er verschickt sich dann mit den oben genannten Merkmalen sowohl an 50 zufällig ausgewählte Adressen im Outlook Adressbuch als auch an 25 hauptsächlich israelische Mail-Adressen.

Der Wurm setzt nach dem erfolgreichen Mail-Versand einen Eintrag in die Windows Registry, damit die Mails vom selben PC aus nicht noch einmal verschickt werden.

Der betroffene Registry-Schlüssel: HKEY_CURRENT_USER\Software\Microsoft\WAB

Der dort drin eingefügte Wert: &malead,1, REG_DWORD

Nun öffnet der Staple-Wurm sechs Browser-Fenster mit verschiedenen Webseiten zum genannten Thema. Am Schluss zeigt der Wurm eine grosse Dialog-Box an, die Lage im nahen Osten betreffend. Der Text in dieser Box beginnt mit diesen Zeilen:

"PLEASE ACCEPT MY APOLOGIES FOR DISTURBING YOU.

Remember that one day YOU may be in this situation.

We need every possible help.

Israeli soldiers killed in cold blood 12 year old Palestinian child

Mohammad Al-Durra, as his father tried to protect him in vain with

his own body. As a result of the indiscriminate and excessive use of

machine gun fire by Israeli soldiers, journalists and bystanders

watched helplessly as the child was savagely murdered."

Öffnen Sie keine Mail-Beilagen, die Sie nicht erwartet oder angefordert haben. Sollte sich der Wurm bereits eingenistet haben, scannen Sie Ihren PC mit einem frisch aktualisierten Antivirus-Programm und löschen Sie alle Dateien, die jenes als "infiziert" meldet. Falls Sie mit dem Editieren der Registry vertraut sind, gehen Sie auch zum oben erwähnten Registry-Schlüssel und entfernen den vom Wurm eingefügten Wert.

Weitere Informationen und Screenshots zu diesem Wurm finden Sie beispielsweise bei F-Secure [1], Sophos [2] oder Computer Associates [3].